Системный файл (видеодрайвер?) заражен вирусом Win32:Malware-gen или нет?

@Shrewd · Регистрация: 30.12.2018

Студворк — интернет-сервис помощи студентам

Добрый день!

Сведения о системе:
Имя ОС Microsoft Windows 7 Профессиональная,
Версия 6.1.7601 Service Pack 1 Сборка 7601,
Тип X86-based PC

После неосторожного скачивания KMS-активатора нахватался вирусов, компьютер сам перезагрузился и началось сканирование Avast-ом, после чего я еще 2 раза сканировал Avast-ом при перезапуске, после чего проверял и чистил компьютер при помощи утилит mbar-1.10.3.1001, adwcleaner_7.2.6.0, ccsetup551, Norman_Malware_Cleaner - более 100 потенциально опасных объектов было помещено в карантин или удалено. Также была чистка планировщика заданий, автозапуска, Google Chrome, реестра, куков, истории, расширений, кэша, временных файлов, дампов памяти, журналов Widows и т.д.

В результате компьютер сейчас работает нормально, однако Avast все время при полном сканировании сообщает, что системный файл C:\Windows\3821B4C83F2D.sys (в его описании написано, что это видеодрайвер) заражен вирусом Win32:Malware-gen (скриншот прилагаю). Если этот файл проверить Avast-ом индивидуально, выскакивает тоже самое сообщение. Интересно, что в папке C:\Program Files в тоже самое время, что и файл C:\Windows\3821B4C83F2D.sys была создана странная папка Whai c не менее странным файлом 536581219.exe, которые я удалил.

Архив CollectionLog-2018.12.30-17.43.zip также высылаю.

Это действительно вирус или это Avast так реагирует на какие-то его "остатки" Win32:Malware-gen?
Какие будут рекомендации?
Благодарю за помощь.

@Shrewd · 30.12.2018, 23:51 **[ТС]**

Файлы здесь:

@thyrex · 31.12.2018, 09:22

https://www.virustotal.com/#/f... /detection
Все пароли смените.

Выполните скрипт в AVZ из папки Autologger

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('3821B4C83F2D', 4);
 QuarantineFile('C:\Windows\3821B4C83F2D.sys','');
 DeleteFile('C:\Windows\3821B4C83F2D.sys','32');
 DeleteService('3821B4C83F2D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
4
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@Shrewd · 31.12.2018, 18:18 **[ТС]**

thyrex, благодарю за быстрый ответ!
Ваши рекомендации выполнил (правда пароли пока не все поменял).
Файл C:\Windows\3821B4C83F2D.sys удален, Avast вирусов не находит

Благодарю

Жду дальнейших рекомендаций...

@thyrex · 31.12.2018, 21:19

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

@Shrewd · 31.12.2018, 22:30 **[ТС]**

Содержимое файла SecurityCheck.txt:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 31.12.2018 21:20:21
Path starting: C:\Users\Alexandr\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: False
User: Alexander
VersionXML: 5.68s-17.11.2018
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 15.06.2018 11:57:19
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.e xe
Системный диск: C: ФС: [NTFS] Емкость: [111.3 Гб] Занято: [24.5 Гб] Свободно: [86.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18697 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4467107 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.18.8.2356
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Foxit Reader 7.3.6.321 v.v 7.3.6.321 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
GPL Ghostscript v.9.19 Внимание! Скачать обновления
VLC media player v.3.0.4
WinRAR 5.61 (32-разрядная) v.5.61.0
7-Zip 18.05 v.18.05.00.0
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.71.0.3578.98 [+]
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.e xe v.71.0.3578.98
chrome.exe
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
AvastSvc.exe
aswbIDSAgent (aswbIDSAgent) - Служба работает
aswidsagent.exe
AvastUI.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.8.4084.409
aswbIDSAgent (aswbIDSAgent) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
WhiteClick v.4.1.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

@thyrex · 31.12.2018, 22:36

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@Shrewd · 01.01.2019, 08:27 **[ТС]**

Содержимое файла SecurityCheck.txt после выполнения новых рекомендаций (кроме обновления Windows и Internet Explorer - их я не решился выполнять, так как OC Windows 7 Профессиональная у меня не лицензионная):

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 01.01.2019 07:15:28
Path starting: C:\Users\Alexandr\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Админ
VersionXML: 5.77is-24.12.2018
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 15.06.2018 11:57:19
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.e xe
Системный диск: C: ФС: [NTFS] Емкость: [111.3 Гб] Занято: [25.5 Гб] Свободно: [85.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18697 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 2)
Автоматическое обновление отключено
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба остановлена
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4471318 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.18.8.2356
Malwarebytes, версия 3.6.1.2711 v.3.6.1.2711
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 18.06 v.18.06 [+]
Foxit Reader v.9.3.0.10826
GPL Ghostscript v.9.26
VLC media player v.3.0.4
WinRAR 5.61 (32-разрядная) v.5.61.0
------------------------------- [ Browser ] -------------------------------
Google Chrome v.71.0.3578.98
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.e xe v.71.0.3578.98
chrome.exe
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.8.4084.0
aswbIDSAgent (aswbIDSAgent) - Служба работает
C:\Program Files\AVAST Software\Avast\aswidsagent.exe v.18.8.4.1339
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.8.4084.409
aswbIDSAgent (aswbIDSAgent) - Служба работает
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.1.0.1662
Malwarebytes Service (MBAMService) - Служба работает
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.704
----------------------------- [ End of Log ] ------------------------------

Как я понял, критично только обновление
https://docs.microsoft.com/en-... 6/ms16-026
Взвесив "за" и "против" я пока не решаюсь делать эти обновления.
Я не прав?

@thyrex · 01.01.2019, 10:25

Сообщение от Shrewd

кроме обновления Windows и Internet Explorer - их я не решился выполнять, так как OC Windows 7 Профессиональная у меня не лицензионная

Ваше право

@Shrewd · 01.01.2019, 19:17 **[ТС]**

Уважаемый thyrex,
благодарю Вас - Вы мне здорово помогли!

Новые блоги и статьи Все статьи Все блоги /
Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.

@Shrewd 0 / 0 / 0 Регистрация: 30.12.2018 Сообщений: 6

	Системный файл (видеодрайвер?) заражен вирусом Win32:Malware-gen или нет? 30.12.2018, 23:32. Показов 4483. Ответов 9 Метки нет (Все метки) Добрый день! Сведения о системе: Имя ОС Microsoft Windows 7 Профессиональная, Версия 6.1.7601 Service Pack 1 Сборка 7601, Тип X86-based PC После неосторожного скачивания KMS-активатора нахватался вирусов, компьютер сам перезагрузился и началось сканирование Avast-ом, после чего я еще 2 раза сканировал Avast-ом при перезапуске, после чего проверял и чистил компьютер при помощи утилит mbar-1.10.3.1001, adwcleaner_7.2.6.0, ccsetup551, Norman_Malware_Cleaner - более 100 потенциально опасных объектов было помещено в карантин или удалено. Также была чистка планировщика заданий, автозапуска, Google Chrome, реестра, куков, истории, расширений, кэша, временных файлов, дампов памяти, журналов Widows и т.д. В результате компьютер сейчас работает нормально, однако Avast все время при полном сканировании сообщает, что системный файл C:\Windows\3821B4C83F2D.sys (в его описании написано, что это видеодрайвер) заражен вирусом Win32:Malware-gen (скриншот прилагаю). Если этот файл проверить Avast-ом индивидуально, выскакивает тоже самое сообщение. Интересно, что в папке C:\Program Files в тоже самое время, что и файл C:\Windows\3821B4C83F2D.sys была создана странная папка Whai c не менее странным файлом 536581219.exe, которые я удалил. Архив CollectionLog-2018.12.30-17.43.zip также высылаю. Это действительно вирус или это Avast так реагирует на какие-то его "остатки" Win32:Malware-gen? Какие будут рекомендации? Благодарю за помощь. 0

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	31.12.2018, 21:19
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 1

@thyrex 14439 / 7481 / 1579 Регистрация: 06.09.2009 Сообщений: 27,119
	31.12.2018, 22:36
	Исправляйте указанное + Рекомендации после удаления вредоносного ПО 1

@Shrewd 0 / 0 / 0 Регистрация: 30.12.2018 Сообщений: 6
	01.01.2019, 19:17 [ТС]
	Уважаемый thyrex, благодарю Вас - Вы мне здорово помогли! "Век живи, век учись..." © 0

Системный файл (видеодрайвер?) заражен вирусом Win32:Malware-gen или нет?

Решение