-
Junior Member
- Вес репутации
- 55
В системе неудаляемый вирус, Trojan.Packed.666
Здравствуйте. Не так давно(пару-тройку дней назад) столкнулся с проблемой - при запуске системы некоторые exe-Файлы отказывались стартовать(в частности Opera и IExplorrer), писали "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту", со второго раза - все нормально запускались. Бог с ним - посчитал что это глюки винды.
Далее:
стал проверять nod32 - ничего не видит. AVZ - тоже. Поставил Dr.Web CureIt - нашёл в папке windows\system32\ файл типа AbG9tV.exe, зашёл в папку - такого рода файл легко заметить по абсолютно чёрному значку. Удалил антивирусом.
Но не тут то было. При перезапуске системы такого рода файлы находились вновь, в той же папке(C\Windows\System32), но уже с другими названием (например SvBy8k.exe gNMk1Ko.exe и тем же чёрным ярлыком, и их гдето 2 или 3 разных...). Dr.Web определяет их как "Возможно, Trojan.Packed.666".. Разумеется я полез в инэт в поисках ршения проблемы. Ничего кроме http://rfpro.ru/question/176650 этого не нашёл.
Почитал там. Стал искать закономерности, и нашёл всё ТОЖЕ САМОЕ:
при перезагрузке системы всё чисто, DRWeb и прочие ничего не видят, но стоит только подключить сеть(сначала локальное подключение, а потом интернет непосредственно) и в папке C:\ появляется файл temp_file_bin размером 82 килобайта, DRWeb сразу же начинает гнать на него опять же как на "возможно Trojan.Packed.666", удаляю, сразу же антивирь обнаруживает те непонятные файлы в system32(о них писал выше), удаляю и их - через 5-10 секунд temp_file_bin появляется снова, а антивирь снова орёт. Нажимаю игнорировать, дабы он не мешал. Удаляю все эти файлы. Всё нормально, но опера и прочие браузеры периодически пишут ту лабудистику про "ошибку доступа". Отличается от той проблемы только тем, что у меня выход на сайты DrWeb и Nod32 не блокировались. Благо.
Скачал программы описанные сдесь http://rfpro.ru/question/176650 , TcpView, Process Explorer, ProcessMonitor, я в этом деле слабоват, ничего толком не понимаю.
В общем жду помощи. Тут http://rfpro.ru/question/176650 чёткого решения проблемы не нашол. Готов сделать всё что угодно, чтобы избавиться от напасти, Wind'у сносить не вариант - только только менял.... =(
Последний раз редактировалось SergioPhoenix; 14.02.2010 в 17:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 55
ЛОГИ выслать не смог, хотел добавить после 4-й по счёту перезагрузки(думал файлы опять появятся), однако они не появились, что очень странно... Сеть отключал, кабель выдёргивал, temp_file_bin не появляется, файлы в System32 тоже. Возможно drweb всё-таки их доканал, сейчас он ничего не находит, AVZ тоже. Но есть сомнения, в случае их нового появления логи вышлю.
-
Junior Member
- Вес репутации
- 55
прислал карантин...... Удаляю раз за разом, появляются с новыми именами.... Подробности описал выше.
-
Логи готовьте и выкладывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось SergioPhoenix; 20.02.2010 в 17:57.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\80930c90.exe,\\?\globalroot\systemroot\system32\IGg9PZQ.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\80930c90.exe','');
DeleteFile('c:\windows\system32\80930c90.exe');
QuarantineFile('c:\windows\system32\IGg9PZQ.exe','');
DeleteFile('c:\windows\system32\IGg9PZQ.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Новые логи. Карантин выслал.
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
браузеры стартуют с первого раза, не пишут ничего про "Отказано в доступе к указанному устройству....." =)
Dr.Web молчит.
Но в папке Windows\system32\ всё ещё присутствуют файлы 3egFTWT.exe и gcTpTlO.exe с чёрными ярлыками. Те самые которые после удаления появляются снова, после перезагрузки.
-
А пришлите-ка их по правилам.
-
-
Junior Member
- Вес репутации
- 55
выслал, согласно правилам. Там всё есть в карантине.
-
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
-
-
Junior Member
- Вес репутации
- 55
-
Пройдите по ссылкам в логе и закройте уязвимости
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\igg9pzq.exe - Trojan-Spy.Win32.Shiz.be ( DrWEB: Trojan.Packed.19740, BitDefender: Trojan.Generic.3228612, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\80930c90.exe - Backdoor.Win32.Bredavi.cbl ( AVAST4: Win32:Malware-gen )
- c:\windows\system32\9ct5q3d.exe - Trojan.Win32.Scar.bupv ( BitDefender: Trojan.Generic.3236858, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-