В системных папках создаются неизвестные .exe файлы

[Mounre]

Здраствуйте

В системных папках создаются или принимаются через интернет неизвестные .exe файлы типа: 05.exe, 68.exe и т.д и т.п. антивирус касперского опознает их как PDM.Trojan.generic и UDSDangerousObject.Multi.Generic помещает на карантин.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\winsys2.exe','');
 DeleteFile('c:\windows\system32\winsys2.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[Mounre]

Пожалуйста, карантин выслал
сегодня касперский выдал сообщение что "explorer" пытается загрузить: 208.53.183.46/thecalc.data
а до этого появился очередной exe файлы под именем 16.exe и tc.exe
tc.exe определил сразу как: HEUR:Backdoor.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan.Win32.Generic

[AndreyKa]

Установите надежные пароли на учетные записи пользователей с правами администратора.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 ExecuteRepair(16);
 QuarantineFile('C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe');
 BC_ImportDeletedList;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[Mounre]

уязвимости указанные в файле avz_log.txt устранил
карантин не могу отправить так как он не создается, пришлось убрать из скрипта перезагрузку чтобы выяснить почему.

[микропрограмма лечения]> изменен параметр shell ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ошибка карантина файла, попытка прямого чтения (C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe)
Карантин с использованием прямого чтения - ошибка.

еще вопрос по поводу лога "mbam" нужно ли удалять то что он нашел как зараженное?

в файле "avz_log.txt" те уязвимости которые были исправлены.

[AndreyKa]

Странно, что mbam видит:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-7450441782-7647984740-798217791-4112\syscr.exe)

А hijackthis не замечает. Можете посмотреть что в том ключе реестра на самом деле?

[Mounre]

Вот выкладываю в виде скрина.
По моему выглядит не очень доброжелательно

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 RegKeyParamDel('HKCU','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell');
RebootWindows(true);
end.

Компьютер перезагрузится.
Что с проблемами?

[Mounre]

после выполнения скрипта ничего не изменилось
так же не могу создать карантин выдает туже самую ошибку
и все так же обращается к вредоносному интернет адресу указанному выше.
Что это за дрянь такая хитрожопая?
Как только первый раз появилась решил переустановить систему но с быстрым форматированием.
если переустановить с полным форматированием спасет?
или не стоит так быстро сдаваться?
что посоветуете?

[AndreyKa]

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[Mounre]

какие вы не сговорчивые, ну да понимаю много работы.

[AndreyKa]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[Mounre]

карантин выслал

[AndreyKa]

Не видно ничего подозрительного. Проблема решена?
Очистите карантин AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

[Mounre]

да теперь все спокойно, большое спасибо.
карантин почистил, процедуру выполнил

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-1-5-21-7451293880-9676226070-711537270-8963\syscr.exe - Packed.Win32.Krap.hf ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RMU, AVAST4: Win32:Malware-gen )