Win32/Injector.AEI в оперативной памяти

[Назар]

Win32/Injector.AEI троян найден в оперативной памяти.
Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\restorer64_a.exe
Проверил DrWEB Cure.It, выполнил скрипты, даю логи.
Проверьте пожалуйста

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C987892');
 QuarantineFile('c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
 QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\zavupd32.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\restorer64_a.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\svcst.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\seres.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\cpcp.cpo','');
 DeleteFile('C:\WINDOWS\system32\cpcp.cpo');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\seres.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\svcst.exe');
 DeleteFile('C:\Documents and Settings\Администратор\restorer64_a.exe');
 DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Назар]

При перезагрузке системы появляется окно "не найден модуль cpcp.cpo"
Сделал новые логи

[thyrex]

Пофиксить в HiJack

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\syst0.dll
O20 - Winlogon Notify: subsys - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syst0.dll','');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll','');
 QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\zavupd32.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\zavupd32.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\zavupd32.exe - Trojan-Dropper.Win32.HDrop.b ( DrWEB: Trojan.Botnetlog.11 )
  2. c:\windows\system32\cpcp.cpo - Backdoor.Win32.Bredavi.aoq ( DrWEB: BackDoor.Siggen.1541, AVAST4: Win32:Trojan-gen )