Файл который сам создается. [Trojan.MSIL.Zapchast.itt, HEUR:Trojan.Win32.Generic ]

[AppleJen]

Ребят, на всех дисках, в моём случае C,D,E, Создается всё время какой то файл "Programms.exe" при запуске ничего не происходит, антивирус ничего не нашёл, когда удаляю его, он снова появляется, что делать ?
Написано, тип файла "Заставка", похоже на WinLocker, как от него избавится ? При перезагрузки компьютера, появляется синий экран, Dr.web при запуске брендмауэра блокирует файл svchost.exe, видимо этот файл залезает в этот процесс, помогите от него избавиться!

[Info_bot]

Уважаемый(ая) AppleJen, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[AppleJen]

https://www.virustotal.com/file/02d9...3001/analysis/
Вот что выдаёт VT

[thyrex]

http://virusinfo.info/pravila.html

[AppleJen]

Вот логи

[thyrex]

Выполните скрипт в AVZ

Код:

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1337\AppData\Roaming\svhost.exe ..','');
 QuarantineFile('C:\Users\1337\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b5857819bb096c04134249d6f4e71934.exe','');
 QuarantineFile('C:\Users\1337\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5d5e3c1b562e3a75dc95740a35744ad0.exe','');
 QuarantineFile('C:\Program Files (x86)\puush\puush.exe','');
 TerminateProcessByName('c:\users\1337\appdata\roaming\svhost.exe');
 QuarantineFile('c:\users\1337\appdata\roaming\svhost.exe','');
 TerminateProcessByName('c:\users\1337\svchost.exe');
 QuarantineFile('c:\users\1337\svchost.exe','');
 DeleteFile('c:\users\1337\svchost.exe');
 DeleteFile('c:\users\1337\appdata\roaming\svhost.exe');
 DeleteFile('C:\Users\1337\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5d5e3c1b562e3a75dc95740a35744ad0.exe');
 DeleteFile('C:\Users\1337\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b5857819bb096c04134249d6f4e71934.exe');
 DeleteFile('C:\Users\1337\AppData\Roaming\svhost.exe ..');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','b5857819bb096c04134249d6f4e71934');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5857819bb096c04134249d6f4e71934');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5d5e3c1b562e3a75dc95740a35744ad0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5d5e3c1b562e3a75dc95740a35744ad0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[AppleJen]

MBAM не сделал карантин, карантин сделал AVZ, вот логи

[thyrex]

Карантин AVZ пришлите как положено, а не прикрепляйте к сообщению

Выполните скрипт в AVZ

Код:

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1337\AppData\Roaming\svhost.exe','');
 QuarantineFile('C:\Prorgramms.SCR','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\bwippeddac..exe','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\lalhchqkxh..exe','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\WebBrowserPassView1.exe','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\WebBrowserPassView2.exe','');
QuarantineFile('C:\Users\1337\AppData\Local\Temp\WebBrowserPassView3.exe','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\WebBrowserPassView4.exe','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\wtf7055.tmp','');
 QuarantineFile('C:\Users\1337\AppData\Local\Temp\Temp1_sn0wbreeze-2.2.1.zip\sn0wbreeze-2.2.1.exe','');
 QuarantineFile('C:\Windows\pss\5d5e3c1b562e3a75dc95740a35744ad0.exe.Startup','');
 QuarantineFile('C:\Windows\pss\b5857819bb096c04134249d6f4e71934.exe.Startup','');
QuarantineFile('D:\Prorgramms.SCR','');
 QuarantineFile('E:\Prorgramms.SCR','');
QuarantineFile('C:\Program Files (x86)\install\Svchost.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

C:\Users\1337\AppData\Local\Temp\WebBrowserPassView1.exe (PUP.PSW.PassFox) -> No action taken.
C:\Users\1337\AppData\Local\Temp\WebBrowserPassView2.exe (PUP.PSW.Passview) -> No action taken.
C:\Users\1337\AppData\Local\Temp\WebBrowserPassView3.exe (PUP.ChromePasswordTool) -> No action taken.
C:\Users\1337\AppData\Local\Temp\WebBrowserPassView4.exe (PUP.OperaPasswordTool) -> No action taken.
C:\Users\1337\Desktop\brute\Брут mail.ru\[email protected] (PUP.Hacktool.BF) -> No action taken.
C:\Users\1337\Desktop\inject\PerXInjector.exe (HackTool.Agent) -> No action taken.
D:\Торрент\RemoveWAT.exe (HackTool.Wpakill) -> No action taken.
E:\Загрузки\Call of Duty Black Ops II [SKIDROW Crack]\buddha.dll (Malware.Gen.SKR) -> No action taken.

Сделайте новые логи МВАМ

[AppleJen]

thyrex,
А как правильно прислать карантин ? я не понял.

[thyrex]

Что непонятного?

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Над первым сообщением темы есть нужная ссылка

[AppleJen]

Карантин отправил, сейчас сделаю все логи

[thyrex]

Вы и второй карантин пришлите

[AppleJen]

У меня только с AVZ карантин был

- - - Добавлено - - -

Удалил файлы, вроде вируса пока не вижу, лог вроде не сохранился т.к после удаления всё сразу перезагрузилось

- - - Добавлено - - -

Это всё ?

[thyrex]

Новый лог МВАМ предоставьте

[AppleJen]

В новом логе ничего нету, пусто

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\1337\\appdata\\roaming\\microsoft\\wind ows\\start menu\\programs\\startup\\b5857819bb096c04134249d6f 4e71934.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader6.63790, BitDefender: Gen:Variant.Barys.7488 )
  2. c:\\users\\1337\\appdata\\roaming\\svhost.exe .. - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoader6.63790, BitDefender: Gen:Variant.Barys.7488 )
  3. \\2012-11-13\\avz00003.dta - Trojan.MSIL.Zapchast.itt ( DrWEB: Trojan.DownLoader6.63787, BitDefender: Gen:Variant.Barys.7488, AVAST4: Win32:Kryptik-HYB [Trj] )