Подозрительный файл C:\WINDOWS\system32\CGZipLibrary.DLL

**sergey19** · 15.02.2014, 11:50

Здравствуйте!
Просканировал систему (быстрая проверка) програмой Emsisoft Anti-Malware - Версия 8.1

Вот резульатат:

Настройки проверки:

Тип проверки: Быстрая проверка
Объекты: Руткиты, Память, Следы

Обнаруживать ПНП: Вкл.
Проверка архивов: Откл.
Проверка ADS: Вкл.
Фильтр расширения файлов: Откл.
Расширенное кэширование: Вкл.
Прямой доступ к диску: Откл.

Запуск проверки: 14.02.2014 14:42:21
C:\Documents and Settings\Администратор\Application Data\dsite Обнаружено: Application.AppInstall (A)
C:\Documents and Settings\Администратор\Application Data\thinstall Обнаружено: Application.AppInstall (A)
C:\Documents and Settings\All Users\Application Data\trymedia Обнаружено: Application.AppInstall (A)
C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\geiqg04w.default\Sea rchplugins\ask.xml Обнаружено: Application.SearchPlug (A)
C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\geiqg04w.default\Sea rchplugins\search_results.xml Обнаружено: Application.SearchPlug (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\APPLICATIONS\I LIVIDSETUPV1.EXE Обнаружено: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{55D6339 3-DB17-4A2B-9052-15D85B4B1344} Обнаружено: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{6E99364 3-8FBC-44FE-BC85-D318495C4D96} Обнаружено: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{BC9FD17 D-30F6-4464-9E53-596A90AFF023} Обнаружено: Application.AdReg (A)
Key: HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVIC ES\TORCHCRASHHANDLER Обнаружено: Application.AdServ (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\DEALPLYLIVE Обнаружено: Application.InstallAd (A)
Key: HKEY_USERS\S-1-5-21-1085031214-162531612-839522115-500\SOFTWARE\INSTALLCORE Обнаружено: Application.AdTool (A)
C:\WINDOWS\system32\CGZipLibrary.DLL Обнаружено: Rogue.Win32.FakeAV (A)
C:\Documents and Settings\Администратор\Application Data\System.log Обнаружено: Trojan.Win32.Netprot (A)
Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT -> C6CE1332 Обнаружено: Trojan.Win32.Injector (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{293364A E-43F8-11D3-BC2D-4000000A2806} Обнаружено: Rogue.Win32.FakeAV (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{293364B A-43F8-11D3-BC2D-4000000A2806} Обнаружено: Rogue.Win32.FakeAV (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\DATAMNGR Обнаружено: Application.InstallAd (A)

Проверено: 55011
Найдено 18

Конец проверки: 14.02.2014 14:43:40
Время проверки: 0:01:19

Потом просканировл еще одной програмой:

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2014.02.15.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Администратор :: MICROSOF-74B043 [администратор]

Защитный модуль : Включен

15.02.2014 8:57:11
mbam-log-2014-02-15 (08-57-11).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 220243
Времени прошло: 9 минут , 10 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115} (PUP.Optional.Datamngr.A) -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7} (PUP.Optional.SearchQu) -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\DSite (PUP.Optional.DigitalSites.A) -> Помещено в карантин и успешно удалено.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\DealPlyLive (PUP.Optional.DealPly.A) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0V1N2Y1S0V1R1H -> Помещено в карантин и успешно удалено.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 2
C:\Documents and Settings\Администратор\Application Data\DSite\UpdateProc\UpdateTask.exe (PUP.Optional.DigitalSites.A) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\Администратор\Мои документы\msicuu_download.chip.eu.exe (PUP.Optional.ChipXonio) -> Помещено в карантин и успешно удалено.

(конец)

Файл удалять боюсь, как и ветви реестра.
VirusTotal молчит, а с Virusjotti выявил как вирус только Clam AV - 2014-02-15 PUA.Win32.Packer.ProtectSharewar-1

Еще такая проблемка, ПК сильно гудит.Возможно вирус его грузит.Но диспечер задач показывает что загрузка в норме.

Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.02.2014, 11:52

Уважаемый(ая) sergey19, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.