Trojan.Packed.20771

[okomaster]

Система WinXP sp3.
Заблокировались антивирусные сайты. DrWebCureIT (от 19.09.2010) ничего подозрительного не увидел. Вручную удалил подозрительные файлы из System32 (см.приложение: пароль- virus) и прочистил в реестре папку PersistentRoutes ([HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes\]), т.к. там было очень много URL.
Антивирусные сайты открылись: скачал новый CureIT, AVZ,Spybot и HijackThis. CureIT и Spybot ничего не замечают, а AVZ и HijackThis не работают (при старте мелькнёт окно - и сразу закрывается), хотя вирусы остались, т.к. IE стал плохо работать, Опера вообще заблокирована, а Firefox "падает", т.е. запускается с 3-й или 4-й попытки.
Новый CureIT всё-таки обнаружил троян, когда я подсунул ему распакованную папку с подозрительными файлами (см. приложение).
СПАСИБО

[okomaster]

Удалось запустить "Virus Removal Tool" Касперского.
Log прилагаю.
СПАСИБО

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 QuarantineFile('pvmjpg30.dll','');
 QuarantineFile('E:\WINDOWS\system32\3110b793.exe','');
 QuarantineFile('E:\WINDOWS\system32\booiju.exe','');
 DeleteFile('E:\WINDOWS\system32\booiju.exe');
 DeleteFile('E:\WINDOWS\system32\3110b793.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[okomaster]

СПАСИБО.
Но AVZ не работает. Запускается только Касперский из командной строки.
Там есть бат-файл для выполнения скриптов. Может туда вставить?
СПАСИБО.

[olejah]

Выполните скрип в avptool.

[okomaster]

Я ВОСХИЩЁН ОЛЕГОМ ИЗ КРАСНОДАРА!
"С одного выстрела - не в бровь, а в глаз!"
Удалил вручную booiju.exe (см. в карантине *.zip пароль virus -> *.rar пароль virus) - и все антивирусы заработали...
Браузеры не глючат, скорость стала выше...
Логи и карантин после 1-го скрипта прикрепляю.
СПАСИБО!
P.S.
Вопрос: у параметра 2201 в конце какое должно быть значение "3" или "1" ?

[olejah]

Плохого не вижу в логах, что-нибудь беспокоит ещё?

- Сделайте на всякий случай лог полного сканирования МВАМ

Добавлено через 4 минуты

Я ВОСХИЩЁН ОЛЕГОМ ИЗ КРАСНОДАРА!

Чёрт, откуда они знают мой настоящее имя..

[okomaster]

Плохого не вижу в логах, что-нибудь беспокоит ещё? - Сделайте на всякий случай лог полного сканирования МВАМ

1.Иногда "падает" ReGet Deluxe с "предупреждением". Сразу же можно запустить.
2.Иногда (очень редко) "клинит" компьютер с перезагрузкой. Обычно это происходит, когда IE8 загружает страницу какого-то сайта.
В IE8 отключено выполнение скриптов, сценариев и активных окон. При этом на DOS-экране быстро мелькает много текста, как-будто какой-то конфликт в памяти. Лог MBAM прилагаю. Ещё прикрепляю StartUp list: может здесь кто-то конфликтует, может кого-то можно удалить, например, IgfxTray (непонятно что это).
СПАСИБО.

[okomaster]

Только что при "падении" ReGet Deluxe написал следующее:
"We're sorry, but looks like ReGet Deluxe has crashed. Crach report has beenautomatically created and saved on your desktop as the file: C68.txt. We are going as the form to submit your crash-report in you default Internetbrowser, please fill all the fields in that form, attach the crashreport and click submit." C68.txt прилагаю.
СПАСИБО.

[olejah]

Удалите в МВАМ -

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.

Зараженные файлы:
E:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> No action taken.

[okomaster]

Удалите в МВАМ - ....

Удалил.
Проблема с браузером осталась. Теперь уже в Firefox при загрузке страницы перегрузился компьютер (см. problem.txt).
Сделал повторно логи.
СПАСИБО.

Moderated:: Убедительная просьба не прикреплять никаких лишних вложений если Вас об этом не просили.

[okomaster]

В некоторых случаях глючил новый (китайский) USB-расширитель.

СПАСИБО

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены