вирус TR/Crypt.XPACK.Gen

@annagerman05 · Регистрация: 16.10.2009

Author24 — интернет-сервис помощи студентам

Здравствуйте! Мой антивирус Avira не может удалить вирус TR/Crypt.XPACK.Gen. Сделала все, как описано в теме о помощи https://www.cyberforum.ru/viruses/thread49792.htm Что делать дальше? Заранее спасибо!

@.None · 16.10.2009, 07:34

В HijackThis пофиксить

Code
1
2
3
4
5
6
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [restorer64_a] C:\Documents and Settings\Администратор\restorer64_a.exe
O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\Администратор\Application Data\seres.exe
O4 - HKCU\..\Run: [svchost] C:\Documents and Settings\Администратор\Application Data\svcst.exe

Отключите антивирус и фаервол!!!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\tetatet\tetatet.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acernbm.sys','');
 TerminateProcessByName('c:\documents and settings\Администратор\application data\svcst.exe');
 QuarantineFile('c:\documents and settings\Администратор\application data\svcst.exe','');
 TerminateProcessByName('c:\documents and settings\Администратор\application data\seres.exe');
 QuarantineFile('c:\documents and settings\Администратор\application data\seres.exe','');
 TerminateProcessByName('c:\documents and settings\Администратор\restorer64_a.exe');
 QuarantineFile('c:\documents and settings\Администратор\restorer64_a.exe','');
 TerminateProcessByName('c:\windows\system32\restorer64_a.exe');
 QuarantineFile('c:\windows\system32\restorer64_a.exe','');
 DeleteFile('c:\windows\system32\restorer64_a.exe');
 DeleteFile('c:\documents and settings\Администратор\restorer64_a.exe');
 DeleteFile('c:\documents and settings\Администратор\application data\seres.exe');
 DeleteFile('c:\documents and settings\Администратор\application data\svcst.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Опять AVZ, выполнить скрипт

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС.

Выполнить п. 1 и 3 раздела Диагностика Правил

Логи: virusinfo_syscheck.zip, log.txt, info.txt прикрепите к теме.

@annagerman05 · 16.10.2009, 21:32 **[ТС]**

Спасибо за ответ и быстроту!!!

@inter-admin · 16.10.2009, 21:33

annagerman05, карантин не надо прикреплять сюда.

Сообщение от .None

файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС.

@.None · 16.10.2009, 23:14

restorer64_a.exe - Trojan.DownLoad.50467
seres.exe - Trojan.Siggen.5279
svcst.exe - Trojan.Siggen.5279

что с проблемами, жалобы есть?

рекомендуется установить Internet Explorer 8, даже если им и не пользуетесь.

это C:\Program Files\Adobe\Reader 8.0\ деинсталируйте или обновите до последней версии Adobe Reader 9.2

@annagerman05 · 18.10.2009, 00:30 **[ТС]**

Неа, проблем пока нет, кроме того, что антивирус постоянно выдает сообщения о зараженных файлах. Просто хотелось как бы без вирусов существовать. А что с теми тремя файлами, которые Вы выше перечислили, теперь делать? Или ничего больше, кроме обновлений, не делать?

@FilipFray · 18.10.2009, 00:58

На какие файлы ругается антивирус?

C:\Documents and Settings\Администратор\tetatet\tetatet.exe
C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ikowin32.exe

Файлы известны?

Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Code
1
2
3
4
begin
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте его на FilipFrayWERbigmir.net, где WER = @

Добавлено через 32 секунды

А что с теми тремя файлами, которые Вы выше перечислили

Удалены скриптом.

Новые блоги и статьи Все статьи Все блоги /
Java Micronaut в Docker: контейнеризация с Maven и Jib Javaican 16.03.2025 Когда речь заходит о микросервисной архитектуре на Java, фреймворк Micronaut выделяется среди конкурентов. Он создан с учётом особенностей облачных сред и контейнеров, что делает его идеальным. . .	Управление зависимостями в Java: Сравнение Spring, Guice и Dagger 2 Javaican 16.03.2025 Инъекция зависимостей (Dependency Injection, DI) — один из фундаментальных паттернов проектирования, который радикально меняет подход к созданию гибких и тестируемых Java-приложений. Суть этого. . .	Apache Airflow для оркестрации и автоматизации рабочих процессов Mr. Docker 16.03.2025 Управление сложными рабочими процессами — одна из главных головных болей инженеров данных и DevOps-специалистов. Представьте себе: каждый день нужно запускать десятки скриптов в определенной. . .	Оптимизация приложений Java для ARM Javaican 16.03.2025 ARM-архитектура переживает настоящий бум популярности в технологическом мире. Когда-то воспринимаемая исключительно как решение для мобильных устройств и встраиваемых систем, сегодня она штурмует. . .	Управление состоянием в Vue 3 с Pinia и Composition API Reangularity 16.03.2025 Когда я начал работать с Vue несколько лет назад, мне казалось достаточным использовать простую передачу данных через props и события между компонентами. Однако уже на среднем по сложности проекте. . .
Введение в DevSecOps: основные принципы и инструменты Mr. Docker 16.03.2025 DevSecOps - это подход к разработке программного обеспечения, который объединяет в себе принципы разработки (Dev), безопасности (Sec) и эксплуатации (Ops). Суть подхода заключается в том, чтобы. . .	GitHub Actions vs Jenkins: Сравнение инструментов CI/CD Mr. Docker 16.03.2025 В этой битве за эффективность и скорость выпуска программных продуктов ключевую роль играют специализированные инструменты. Два гиганта в этой области — GitHub Actions и Jenkins — предлагают разные. . .	Реактивное программирование с Kafka Stream и Spring WebFlux Javaican 16.03.2025 Реактивное программирование – это программная парадигма, ориентированная на потоки данных и распространение изменений. Она позволяет выражать статические или динамические потоки данных и. . .	Простая нейросеть на КуМир: Учебное пособие по созданию и обучению нейронных сетей EggHead 16.03.2025 Искусственные нейронные сети — удивительная технология, позволяющая компьютерам имитировать работу человеческого мозга. Если вы хотя бы немного интересуетесь современными технологиями, то наверняка. . .	Исполнитель Кузнечик в КуМир: Решение задач EggHead 16.03.2025 Среди множества исполнителей в системе КуМир особое место занимает Кузнечик — простой, но невероятно полезный виртуальный персонаж, который перемещается по числовой прямой, выполняя ваши команды. На. . .

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	16.10.2009, 21:33	4
	annagerman05, карантин не надо прикреплять сюда. Сообщение от .None файл quarantine.zip выложите на обменник в инете, ссылку мне в ЛС. 0

@.None 4348 / 1678 / 335 Регистрация: 23.06.2009 Сообщений: 5,956
	16.10.2009, 23:14	5
	restorer64_a.exe - Trojan.DownLoad.50467 seres.exe - Trojan.Siggen.5279 svcst.exe - Trojan.Siggen.5279 что с проблемами, жалобы есть? рекомендуется установить Internet Explorer 8, даже если им и не пользуетесь. это C:\Program Files\Adobe\Reader 8.0\ деинсталируйте или обновите до последней версии Adobe Reader 9.2 0

@annagerman05 0 / 0 / 0 Регистрация: 16.10.2009 Сообщений: 3
	18.10.2009, 00:30 [ТС]	6
	Неа, проблем пока нет, кроме того, что антивирус постоянно выдает сообщения о зараженных файлах. Просто хотелось как бы без вирусов существовать. А что с теми тремя файлами, которые Вы выше перечислили, теперь делать? Или ничего больше, кроме обновлений, не делать? 0