Trojan Packet 447, поедание трафика, скрытые файлы

**Vedmedya** · 06.05.2008, 23:53

Добрый вечер!
В интернете подхватил троян, комп. сам перезагрузился, при чем сделал это корректно, после перезагрузки и подключения к интернету сразу обнаружил вирус в папке темп и систем32. Началась отправка различного рода информации, и поедание трафика.
Удалил всё это дело с помощью др.Вэба, но остались последствия:
скрытые файлы не возможно видеть, ставишь галочку "Отображать скрытые файлы" нажимаешь применить, но всё остаётся по прежнему скрытые остаются невидимыми.
Прошу проверить систему на наличие зловредов.
Заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Vedmedya** · 07.05.2008, 00:05

После выполнения стандартных скриптов, которые указанные в правилах очень сильно начал тормозить аваст, загружает процессор на 100%

**Rene-gad** · 07.05.2008, 00:08

Сообщение от Vedmedya

После выполнения стандартных скриптов, которые указанные в правилах очень сильно начал тормозить аваст,

У тех, кто читает правила не возникает такой проблемы

Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы...

Пофиксите

Код:

O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\basertedh32.dll','');
 TerminateProcessByName('c:\windows\winlogon.exe');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('c:\windows\winlogon.exe','');
 DeleteFile('c:\windows\winlogon.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\basertedh32.dll');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки - загрузить карантин по правилам, логи повторить.

**Vedmedya** · 07.05.2008, 00:13

перед выполнением 8, 10, 12 отключал антивир и запускал ИЕ)))

**Rene-gad** · 07.05.2008, 00:23

Сообщение от Vedmedya

перед выполнением 8, 10, 12 отключал антивир и запускал ИЕ)))

тогда Аваст не должен грузить

. Выполните описаные в сообщении 2 операции, карантин и логи - в студию.

**Vedmedya** · 07.05.2008, 00:47

Усе сделал, карантин отправил.
логи повторяю.

**wise-wistful** · 07.05.2008, 00:58

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
BC_ImportAll;
BC_DeleteSvc('grande48');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: UserInit=userinit.exe

Повторите логи.

**Vedmedya** · 07.05.2008, 01:27

Карантин отправил.

**wise-wistful** · 07.05.2008, 09:54

В логах подозрительного ничего нет. Как система?

**Vedmedya** · 07.05.2008, 11:58

скрытые файлы не возможно видеть, ставишь галочку "Отображать скрытые файлы" нажимаешь применить, но всё остаётся по прежнему скрытые остаются невидимыми

**Rene-gad** · 07.05.2008, 12:01

Сообщение от Vedmedya

скрытые файлы не возможно видеть, ставишь галочку "Отображать скрытые файлы" нажимаешь применить, но всё остаётся по прежнему скрытые остаются невидимыми

попробуйте Пуск -> Выполнить -> regsvr32 /i shell32.dll + клавиша Ввод