Периодически появляются трояны в папке system32. Удаляю их AVIRA, но потом они появляется опять с другим названием((Virus or unwanted program 'TR/Agent.103936 [trojan]'
detected in file 'D:\WINDOWS\system32\Z9p4Amy.exe.
Периодически появляются трояны в папке system32. Удаляю их AVIRA, но потом они появляется опять с другим названием((Virus or unwanted program 'TR/Agent.103936 [trojan]'
detected in file 'D:\WINDOWS\system32\Z9p4Amy.exe.
Закройте все программы, выгрузите антивирус, фаерволл
Отключите ПК от интеренета, локальной сети.
пофиксите В HijackThis:
Выполните в AVZ скрипт:Код:F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\da664e8a.exe,\\?\globalroot\systemroot\system32\d4YcGlY.exe,\\?\globalroot\systemroot\system32\3mByZE4.exe,\\?\globalroot\systemroot\system32\kOYyaa5.exe,\\?\globalroot\systemroot\system32\2x3Mjjy.exe,\\?\globalroot\systemroot\system32\a54xQe4.exe,\\?\globalroot\systemroot\system32\39pnTmS.exe,\\?\globalroot\systemroot\system32\SdGHpBx.exe,\\?\globalroot\systemroot\system32\4qcVPeT.exe,\\?\globalroot\systemroot\system32\tVaAkgK.exe,\\?\globalroot\systemroot\system32\P8KXsfa.exe,\\?\globalroot\systemroot\system32\T2OQmFR.exe,\\?\globalroot\systemroot\system32\8rRX2uv.exe,\\?\globalroot\systemroot\system32\yf2gnWO.exe,\\?\globalroot\systemroot\system32\MT58c8G.exe,\\?\globalroot\systemroot\system32\xSnKI4M.exe,\\?\globalroot\systemroot\system32\TCYWTVy.exe,\\?\globalroot\systemroot\system32\ah1NohJ.exe,\\?\globalroot\systemroot\system32\vHChtrd.exe,
После выполнения скрипта компьютер сам перезагрузится.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\da664e8a.exe',''); QuarantineFile('D:\WINDOWS\system32\drivers\wmilibnt.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\ras2k.sys',''); QuarantineFile('D:\DOCUME~1\Rom@n\LOCALS~1\Temp\Rar$EX04.407\mpr_freader.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\hidex.sys',''); DeleteFile('D:\WINDOWS\system32\da664e8a.exe'); QuarantineFile('D:\WINDOWS\system32\vHChtrd.exe',''); QuarantineFile('D:\WINDOWS\system32\ah1NohJ.exe',''); QuarantineFile('D:\WINDOWS\system32\TCYWTVy.exe',''); QuarantineFile('D:\WINDOWS\system32\xSnKI4M.exe',''); QuarantineFile('D:\WINDOWS\system32\MT58c8G.exe',''); QuarantineFile('D:\WINDOWS\system32\yf2gnWO.exe',''); QuarantineFile('D:\WINDOWS\system32\8rRX2uv.exe',''); QuarantineFile('D:\WINDOWS\system32\T2OQmFR.exe',''); QuarantineFile('D:\WINDOWS\system32\P8KXsfa.exe',''); QuarantineFile('D:\WINDOWS\system32\tVaAkgK.exe',''); QuarantineFile('D:\WINDOWS\system32\4qcVPeT.exe',''); QuarantineFile('D:\WINDOWS\system32\SdGHpBx.exe',''); QuarantineFile('D:\WINDOWS\system32\39pnTmS.exe',''); QuarantineFile('D:\WINDOWS\system32\a54xQe4.exe',''); QuarantineFile('D:\WINDOWS\system32\2x3Mjjy.exe',''); QuarantineFile('D:\WINDOWS\system32\kOYyaa5.exe',''); QuarantineFile('D:\WINDOWS\system32\3mByZE4.exe',''); QuarantineFile('D:\WINDOWS\system32\d4YcGlY.exe',''); DeleteFile('D:\WINDOWS\system32\vHChtrd.exe'); DeleteFile('D:\WINDOWS\system32\ah1NohJ.exe'); DeleteFile('D:\WINDOWS\system32\TCYWTVy.exe'); DeleteFile('D:\WINDOWS\system32\xSnKI4M.exe'); DeleteFile('D:\WINDOWS\system32\MT58c8G.exe'); DeleteFile('D:\WINDOWS\system32\yf2gnWO.exe'); DeleteFile('D:\WINDOWS\system32\8rRX2uv.exe'); DeleteFile('D:\WINDOWS\system32\T2OQmFR.exe'); DeleteFile('D:\WINDOWS\system32\P8KXsfa.exe'); DeleteFile('D:\WINDOWS\system32\tVaAkgK.exe'); DeleteFile('D:\WINDOWS\system32\4qcVPeT.exe'); DeleteFile('D:\WINDOWS\system32\SdGHpBx.exe'); DeleteFile('D:\WINDOWS\system32\39pnTmS.exe'); DeleteFile('D:\WINDOWS\system32\a54xQe4.exe'); DeleteFile('D:\WINDOWS\system32\2x3Mjjy.exe'); DeleteFile('D:\WINDOWS\system32\kOYyaa5.exe'); DeleteFile('D:\WINDOWS\system32\3mByZE4.exe'); DeleteFile('D:\WINDOWS\system32\d4YcGlY.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните после перезагрузки такой скрипт:
В папке c АВЗ сохранится virus.zip.Код:begin CreateQurantineArchive(GetAVZDirectory+'virus.zip'); end.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи, в том числе и virusinfo_syscure.
После выполнения первого скрипта комп во время перезагрузки завис, а так все прошло нормально
Логи АВЗ старые прикрепили. Один из них вообще от 3 мая.
1. Обновите базы AVZ: Файл - обновление баз.
2. Сделайте новые логи.
Исправил
Тот, который syscure:syscheck:Код:Сканирование запущено в 03.05.2010 0:02:10 Загружена база: сигнатуры - 271453, нейропрофили - 2, микропрограммы лечения - 56, база от 30.04.2010 21:15Удалите папку LOG, далее выполните:Код:Сканирование запущено в 08.05.2010 13:43:33 Загружена база: сигнатуры - 271453, нейропрофили - 2, микропрограммы лечения - 56, база от 30.04.2010 21:15
...
Закройте все программы, выгрузите антивирус, фаерволл
Выполните в AVZ скрипт:
После выполнения скрипта компьютер сам перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); QuarantineFile('D:\WINDOWS\system32\DRIVERS\nvcap.sys',''); QuarantineFile('\SystemRoot\system32\DRIVERS\nvcap.sys',''); DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Выполните после перезагрузки такой скрипт:
В папке c АВЗ сохранится quarantine.zip.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Сделайте еще такой лог:http://virusinfo.info/showthread.php?t=40118
После запуска GMER начинается проверка и WINDOWS выдает ошибку приложения и через некоторое время происходит перезагрузка . Спасибо Вам за помощь.
Последний раз редактировалось DrOMCAZZONE; 10.05.2010 в 12:32.
Гмер не отрабатывает скорее всего из-за неотключенного антивируса и / или фаервола. В карантине чисто. Что с проблемой?
gmer так и продолжает выдавать ошибку даже в безопасном режиме. Спустя неделю опять стали появляться трояны
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделайте логи по правилам. Не забудьте обновить базы AVZ.
Лог combofix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: d:\windows\system32\LA5tDYy.exe Driver:: Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А после можно будет удалить консоль восстановления?
Удалите ComboFix
Консоль восстановления тоже должна удалиться
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за помощь
F:\autorun.inf удалите вручную. Больше ничего необычного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- d:\windows\system32\da664e8a.exe - Trojan.Win32.Inject.aptw ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
Уважаемый(ая) DrOMCAZZONE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.