Последствия Trojan.Packed?..

**Hamrad** · 09.04.2010, 10:08

Доброго времени суток, товарищи!
Не так давно на компьютере появился баннер "ненормативного содержания" с требованием отправить sms. При этом некоторые программы всё же запускать можно было - тогда я подумал на программку наподобие AdWare.FieryAds. При этом DrWeb молчал.. При следующей перезагрузке компьютера этот баннер пропал и больше не появлялся. При сканировании компьютера программой AVZ(простое сканирование, без составления логов) неожиданно активизировался DrWeb, указав на файл install_flashplayer.exe(вроде бы так) в папке Temporary Download браузера Опера и иденцифицировав его, как Trojan.Packed... Файл был удалён.
После этого выяснилось, что Офисные документы(doc, xls, ppt...) стали открываться и закрываться с большой задержкой, появились некоторые "тормоза" в работе Оперы. Перпеустановка Офиса проблему не решила. Windows Update работает - система периодически обновляется. Вчерашняя попытка обновить JAVA не увенчалась успехом - по всей видимости повреждён инсталлятор. AVZ показался данный файл подозрительным и он отправил его в карантин. Думаю, карантин в этом случае высылать вам не стоит..
Просмотрел полученные логи, есть кое-какие подозрения..
Уважаемые Хелперы, просмотрите пожалуйста логи на предмет остатков того Пакера.. Заранее благодарен!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 09.04.2010, 10:38

C:\WINDOWS\system32\tscupgrd.exe - пришлите согласно приложения 2 правил

**Hamrad** · 09.04.2010, 15:21

Здравствуйте, V_Bond

Данный файлик не представляется возможным ни найти, ни, тем паче, добавить в карантин: ни AVZ, ни стандартный Виндосовский Поиск, ни попытка самостоятельно визуально найти файлик не увенчались успехом..

Кстати, маленькое дополнение..
В день появления того баннера на компьютере, таинственным образом были изменены настройки "Подключения по локальной сети": вместо получения автоматических настроек(компьютер подключён к DHCP), в свойствах подключения были прописаны статические адреса компьютера, шлюза и подсети.. Пользователь утверждает, что самостоятельно ничего не менял, т.к. ничего в этом не понимает.

Добавлено через 3 минуты

Быть может, новую партию логов составить?..

**V_Bond** · 09.04.2010, 15:29

такой http://virusinfo.info/showthread.php?t=53070 лог сделайте

**Hamrad** · 09.04.2010, 16:17

Вот лог от MBAM:

InsD2009.exe - в логе - это установщик программы 3-НДФЛ(если что)...

**Hamrad** · 10.04.2010, 14:15

Уважаемые товарищи!
Не хочу показаться назойливым, но, быть может, кто-то ещё может заглянуть в мою тему..

**polword** · 10.04.2010, 14:23

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe','');
 QuarantineFile('C:\InsD2009.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

**Hamrad** · 12.04.2010, 01:30

Большое спасибо, Polword!

Прошу прощения, что призывал на помощь, а сам пропал...
Файл InsD2009.exe AVZ поместил в карантин быстро и без проблем, а вот RAR Slayer v1.1.exe - ни в какую не хотел туда попадать.. Посему я сам создал архив quarantine.zip с требуемым паролем, поместил в него результат работы AVZ и файл RAR Slayer v1.1.exe(прследний - безо всяких изменений и дополнений). Архив выслал по уазанной ссылке. Вот результат загрузки:

Файл сохранён как 100412_011802_quarantine_4bc23c8a20e2c.zip
Размер файла 8914568
MD5 0f638492f29f6353d786a3c0a4bc72bf

Дошёл ли карантин?..
Если в логе от MBAM что-то важное, или программу можно удалять?
Спасибо!

**polword** · 12.04.2010, 06:45

В логах нет ничего подозрительного.
Сделайте следующее
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**Hamrad** · 13.04.2010, 09:48

Здравствуйте!
Прошу прощения за долгую "молчанку"....
При выполнении скрипта из ScanVuln.txt(респект тов.AndreyKa за проделанную работу) лог оказался практически пустым:

Код:

Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены

Ну, и то хорошо

Посмотрел на состояние HDD - давно пора делать дефрагментацию.. Что ж, поработаю над "здоровьем" системы... Самое главное, что следов заразы нет!

Спасибо, товарищи Хелперы, вам за вашу помощь!

Всем жму руки!

Тему можно закрыть.

**CyberHelper** · 14.04.2010, 09:48

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Последствия Trojan.Packed?.. (заявка № 75723)

Опции темы

Последствия Trojan.Packed?..

Итог лечения

Похожие темы

Trojan.Packed.20771 и его последствия

Последствия вируса Trojan.Packed.20771 и падение инета до 0 (

Trojan.Packed.666 и последствия...

Возможные последствия вирусов Trojan.Winlock.938 и Packed.Win32.Krap.w

Последствия заражения Trojan.Packed.19647

Ваши права в разделе