При старте системы появляется окошко с "крякозябрами" [Trojan-Dropper.Win32.Injector.ctat ]

[eas]

В скрытой папке windows/system32/e2d9ae обнаружил
com.run
dp1.fne
eAPI.fne
internet.fne
krnln.fnr
RegEx.fnr
shell.fne
Отправил в ЛК

[Info_bot]

Уважаемый(ая) eas, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/showthread.php?t=121254

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\User\Application Data\netprotocol.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[eas]

Карантин пуст (G:\autorun.inf - автозапуск программы защиты информации с флешки)
Окошко с крякозябрами по-прежнему появляется перед окном приветствия

antimalware bytes сканирует сейчас

- - - Добавлено - - -

Лог МВАМ

[thyrex]

Вы по первой ссылке в моем предыдущем сообщении ходиди? Если нет, тогда уже пора

+ Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\User\Application Data\kwe.exe', 'MBAM: Trojan.PWS');
DeleteFile('C:\Documents and Settings\User\Application Data\kwe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные файлы:  19
C:\Program Files\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Plugins\wcx\MultiArc\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Plugins\wcx\MultiArc\WinUpackR.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\Qip Infium\Protos\InfICQ\inficq.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\TheCalc\Numlock.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\Louderit\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\Multi_Password_Recovery\HookLib.dll (PUP.Hooker) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\Multi_Password_Recovery\MPR.exe (PUP.PasswordView) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\Opera AC\Misc\OperaPassView\OperaPassView.exe (PUP.OperaPasswordTool) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\SBListExtr\SBListExtr.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\SBListExtr\SBListHook.dll (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\WPA_KILL\CRYPT.DLL (Hacktool) -> Действие не было предпринято.
C:\Total Commander PowerUser v49\Programm\clcl\CLCL.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\WINDOWS\system32\GreenFields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\system32\dllcache\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> Действие не было предпринято.

[eas]

Файл сохранён как 120820_164440_virus_503269787e07b.zip
Размер файла 76048
MD5 43c605122f943ad620d1d21fd9b519ee

[thyrex]

Новый лог МВАМ где?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\user\\application data\\kwe.exe - Trojan-Dropper.Win32.Injector.ctat ( DrWEB: Trojan.DownLoad3.465, BitDefender: Gen:Variant.Graftor.15798, AVAST4: Win32:Downloader-NDE [Trj] )