Показано с 1 по 16 из 16.

В системе неудаляемый вирус, Trojan.Packed.666 (заявка № 71227)

  1. #1
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55

    Exclamation В системе неудаляемый вирус, Trojan.Packed.666

    Здравствуйте. Не так давно(пару-тройку дней назад) столкнулся с проблемой - при запуске системы некоторые exe-Файлы отказывались стартовать(в частности Opera и IExplorrer), писали "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту", со второго раза - все нормально запускались. Бог с ним - посчитал что это глюки винды.
    Далее:
    стал проверять nod32 - ничего не видит. AVZ - тоже. Поставил Dr.Web CureIt - нашёл в папке windows\system32\ файл типа AbG9tV.exe, зашёл в папку - такого рода файл легко заметить по абсолютно чёрному значку. Удалил антивирусом.
    Но не тут то было. При перезапуске системы такого рода файлы находились вновь, в той же папке(C\Windows\System32), но уже с другими названием (например SvBy8k.exe gNMk1Ko.exe и тем же чёрным ярлыком, и их гдето 2 или 3 разных...). Dr.Web определяет их как "Возможно, Trojan.Packed.666".. Разумеется я полез в инэт в поисках ршения проблемы. Ничего кроме http://rfpro.ru/question/176650 этого не нашёл.
    Почитал там. Стал искать закономерности, и нашёл всё ТОЖЕ САМОЕ:
    при перезагрузке системы всё чисто, DRWeb и прочие ничего не видят, но стоит только подключить сеть(сначала локальное подключение, а потом интернет непосредственно) и в папке C:\ появляется файл temp_file_bin размером 82 килобайта, DRWeb сразу же начинает гнать на него опять же как на "возможно Trojan.Packed.666", удаляю, сразу же антивирь обнаруживает те непонятные файлы в system32(о них писал выше), удаляю и их - через 5-10 секунд temp_file_bin появляется снова, а антивирь снова орёт. Нажимаю игнорировать, дабы он не мешал. Удаляю все эти файлы. Всё нормально, но опера и прочие браузеры периодически пишут ту лабудистику про "ошибку доступа". Отличается от той проблемы только тем, что у меня выход на сайты DrWeb и Nod32 не блокировались. Благо.

    Скачал программы описанные сдесь http://rfpro.ru/question/176650 , TcpView, Process Explorer, ProcessMonitor, я в этом деле слабоват, ничего толком не понимаю.

    В общем жду помощи. Тут http://rfpro.ru/question/176650 чёткого решения проблемы не нашол. Готов сделать всё что угодно, чтобы избавиться от напасти, Wind'у сносить не вариант - только только менял.... =(
    Последний раз редактировалось SergioPhoenix; 14.02.2010 в 17:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55
    ЛОГИ выслать не смог, хотел добавить после 4-й по счёту перезагрузки(думал файлы опять появятся), однако они не появились, что очень странно... Сеть отключал, кабель выдёргивал, temp_file_bin не появляется, файлы в System32 тоже. Возможно drweb всё-таки их доканал, сейчас он ничего не находит, AVZ тоже. Но есть сомнения, в случае их нового появления логи вышлю.

  5. #4
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55
    прислал карантин...... Удаляю раз за разом, появляются с новыми именами.... Подробности описал выше.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи готовьте и выкладывайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55

    Логи

    Вот, все сделал
    Последний раз редактировалось SergioPhoenix; 20.02.2010 в 17:57.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\80930c90.exe,\\?\globalroot\systemroot\system32\IGg9PZQ.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\80930c90.exe','');
     DeleteFile('c:\windows\system32\80930c90.exe');
    QuarantineFile('c:\windows\system32\IGg9PZQ.exe','');
     DeleteFile('c:\windows\system32\IGg9PZQ.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55
    Новые логи. Карантин выслал.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55
    браузеры стартуют с первого раза, не пишут ничего про "Отказано в доступе к указанному устройству....." =)
    Dr.Web молчит.
    Но в папке Windows\system32\ всё ещё присутствуют файлы 3egFTWT.exe и gcTpTlO.exe с чёрными ярлыками. Те самые которые после удаления появляются снова, после перезагрузки.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А пришлите-ка их по правилам.

  13. #12
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55
    выслал, согласно правилам. Там всё есть в карантине.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

  15. #14
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    35
    Вес репутации
    55
    вот

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пройдите по ссылкам в логе и закройте уязвимости
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\igg9pzq.exe - Trojan-Spy.Win32.Shiz.be ( DrWEB: Trojan.Packed.19740, BitDefender: Trojan.Generic.3228612, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
      2. c:\windows\system32\80930c90.exe - Backdoor.Win32.Bredavi.cbl ( AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\9ct5q3d.exe - Trojan.Win32.Scar.bupv ( BitDefender: Trojan.Generic.3236858, AVAST4: Win32:Malware-gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) SergioPhoenix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус в письме от сбербанка. Trojan.Packed.22310
      От Евгения2406 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.02.2012, 19:00
    2. Ответов: 2
      Последнее сообщение: 22.06.2011, 21:52
    3. Вирус Trojan.Packed.650 и не работает почта!
      От Silentium в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.03.2010, 08:38
    4. Ответов: 8
      Последнее сообщение: 19.12.2009, 17:36
    5. Вирус Trojan.Packed.650
      От Natasha_Z в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.11.2008, 17:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01097 seconds with 19 queries