Удаление вируса, файл msa.exe - инфицирован, вопросы по логам.

[forever]

День добрый!
Просьба посмотреть логи..
Странного не чего не нашел в работе ПК.

Ещё одно, при сканировании первый раз AVZ ругался на tmagent который находился в C:\Program Files\Common Files\Target Marketing Agency\TMAgent\ ,
в тоже время NOD32 не ругается на этот файл. - Удалил. Quarantine - сделал с TMAgent. файл называется avz00003.dta. в архиве который я загружу следующей темой . пароль на архив: virus

Но логи подозрительные.. Посмотрите пожалуйста

Сразу если можно вопросы по текущиму логу
На сколько опасно:
>> Опасно ! Обнаружена маскировка процессов ?

\FileSystem\ntfs[IRP_MJ_CREATE] = 823DA1D8 -> перехватчик не определен ? \*как видно в логах этого добра достаточно *\

C:\Program Files\TortoiseHg\THgShell.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\TortoiseHg\THgShell.dll>>> Поведенческий анализ
\* Если я периодически использую TortoiseHg, мне его необходимо удалить? *\

>>> C:\WINDOWS\msa.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности) \* Возможно ли что это вирус? *\
\*сканирование через www.virustotal.com/ru - считает что Результат: 32/40 (80.00%) вирус.*\

>> Нарушение ассоциации REG файлов \* На сколько страшно это? Возможно ли изменить? *\

Заранее всем большое спасибо за помощь.

virusinfo_syscure.zip - добавил

[thyrex]

virusinfo_cure.zip удалите из вложений и отправьте по красной ссылке Прислать запрошенный карантин вверху темы

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msa.exe','');
 QuarantineFile('C:\WINDOWS\msb.exe','');
 QuarantineFile('C:\DOCUME~1\awork\LOCALS~1\Temp\Bvh.exe','');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
 DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
 DeleteFile('C:\DOCUME~1\awork\LOCALS~1\Temp\Bvh.exe');
 DeleteFile('C:\WINDOWS\msb.exe');
 DeleteFile('C:\WINDOWS\msa.exe');
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency\TMAgent', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency\TMAgent');
DeleteFile('{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[forever]

сдеал virusinfo_cure.zip
Результат загрузки
Файл сохранён как 100419_155322_virusinfo_cure_4bcc443227570.zip
Размер файла 269649
MD5 b2989f2bf738ad1f9b153feb19e9b2f7
Файл закачан, спасибо!

Скрипт выполню позже!!

[forever]

thyrex - спасибо. Логи сделал

Жду дальнейших инструкций.

Карантин сделал

Результат загрузки
Файл сохранён как 100419_173003_virus_4bcc5adbb73de.zip
Размер файла 271903
MD5 3add022cf1a5f2f9a0d65f0cfe6d726c
Файл закачан, спасибо!

[thyrex]

Выполните скрипт в AVZ

Код:

begin
DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('%windir%\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторных логов не нужно. Проблема решена?

[forever]

thyrex - Большое Спасибо. Все ОК.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\msa.exe - Packed.Win32.Krap.as ( DrWEB: BackDoor.PcClient.2394, BitDefender: Trojan.Generic.3670278, AVAST4: Win32:Trojan-gen )