Подозрительный A0010164.exe

**boq** · 23.03.2009, 16:26

Позавчера Авира (Avira AntiVir Personal) стала находить как троян A0010164.exe.
Находит его только гвард в папке на одном диске: I:\System Volume Information.

Собственно вот пример лога:
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'I:\System Volume Information\_restore{64F57FD2-0AF9-4CFA-832F-67D5F2018B21}\RP22\A0010164.exe.
Action performed: Deny access

Все, что остается сделать - запретить доступ. Излечить не получается.

Сканер Авиры его не находит. А гвард, создается впечатление, находит только в случае простоя системы в неактивном состоянии и переходе в экран "выбора пользователя". Но строгой зависимости - "переход в ждущий режим" -> срабатывание гварда на A0010164.exe при выходе - обнаружить не могу. То есть, то нет.

Поиск другими антивирями, в том числе Доктором Вебом (CureIt) и AVZ ничего в этом направлении не дает.

Примерно месяц назад уже столкнулся с этой проблемой. Разобраться не успел. Система накрылась (возможно по этой причине), переустановил. Но решать эту проблему постоянной переустановкой - хлопотно очень и совсем не хочется.

Прошу помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 23.03.2009, 17:17

Отключите системное восстановление, как написано в правилах. Потом повторите логи.

**boq** · 23.03.2009, 17:23

Собственно так и сделал. Включил после записи логов.

**Rene-gad** · 23.03.2009, 17:32

Сообщение от boq

Собственно так и сделал. Включил после записи логов.

Откуда, по Вашему, эта строчка?

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено

**boq** · 23.03.2009, 17:39

Странно, сейчас повторю.

**boq** · 23.03.2009, 18:11

Проблема не во мне. Как видно на картинке, несмотря на отключение восстановления AVZ пишет: "Восстановление системы: включено".

Поэтому переделывать остальные 2 теста пока не стал.

Что делаю не так?

**Rene-gad** · 23.03.2009, 20:14

- Выполните скрипт

Код:

begin
setavzpmstatus(true);
RebootWindows(true);
end.

После перезагрузки повторите логи

**boq** · 24.03.2009, 16:03

Выполнил. С отключенным восстановлением, но АВЗ все равно пишет "включено". Или это уже не важно?

**Rene-gad** · 24.03.2009, 17:43

У Вас Винда 64-битная, АВЗ с такими не дружит

В логах ничего подозрительного. Авира продолжает войну?

**boq** · 24.03.2009, 19:46

Сегодня нет. Но и возможностей (длительных простоев), когда такое случалось, пока не было.

В прошлый раз похоже было. Пару простоев в день и три десятка алертов (когда заходишь в систему, "жмакать" на "дени" устаешь). Потом тишина. Потом опять алерты. А через несколько дней системы перестала грузиться.

И не знаю как этот файл из этой папки выдрать. Причем такие папки ж на каждом диске, но алерты идут только на I.

По гуглю есть только "иностранные" упоминания об этом файле, но "лечили" их какой-то экзотикой, которую, к примеру, тут не приветствуют.

**Rene-gad** · 24.03.2009, 21:22

Сообщение от boq

И не знаю как этот файл из этой папки выдрать.

Это не проблема: http://support.microsoft.com/kb/309531/ru
Но проще всего - отключать системное восстановление полностью.

Добавлено через 1 минуту

Сообщение от boq

По гуглю есть только "иностранные" упоминания об этом файле

Так это же переименованный НЕИЗВЕСТНО-КТО в системном восстановлении. Искать в гугле по этому имени бессмысленно.

Подозрительный A0010164.exe (заявка № 42323)

Опции темы

Подозрительный A0010164.exe

Похожие темы

подозрительный экзешник

Подозрительный spex.sys

Подозрительный трафик

Подозрительный sp*.sys

Лог AVZ подозрительный

Ваши права в разделе