Trojan в kernel32.dll

[Ecclesiastes]

Здравствуйте!

Авира нашла троян в системной файле

C:\WINDOWS\system32\kernel32.dll
[DETECTION] Is the TR/Patched.GR.8 Trojan
[WARNING] 'Is the TR/Patched.GR.8 Trojan'. This detection is probably an error. Please send us this file immediately for further analysis.

Его не удаляет.

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\Drivers\DrvAgent32.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

Установите Service Pack 3 (может потребоваться активация) + последующие обновления.

[Ecclesiastes]

Файл сохранён как 101210_141502_Quarantine_4d020bb6bee7b.zip
Размер файла 39173
MD5 c2b0bfa4c1269a4d64b87296e7504ea3

Добавлено через 6 часов 36 минут

Установил SP3

как результат:

C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll
[DETECTION] Is the TR/Patched.GR.8 Trojan
[WARNING] 'Is the TR/Patched.GR.8 Trojan'. This detection is probably an error. Please send us this file immediately for further analysis.

как я понял, папку C:\WINDOWS\$NtServicePackUninstall$ можно удалить, заодно и этот зараженный файл. Вот только после этого нельзя будет снести SP3, если что вдруг. Ну надеюсь, и не понадобиться!

[light59]

похоже авира фолсит. SP3 качали по ссылке?

[Ecclesiastes]

Да, качал по ссылке.
Но вроде как нечего волноваться, потому что в папке C:\WINDOWS\$NtServicePackUninstall$ размещены файлы для отката, если я надумаю удалить SP3. Т.е. этот зараженный kernel32.dll переместили в эту папку, а новый поместили на нужное место. Удалил содержимое этой папки и теперь все хорошо)))
Спасибо! Теперь винда вновь здоровая и жизнерадостная!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены