Trojan.Siggen.288

Printable View

24.03.2009, 01:10
MihailKrasnodar

Trojan.Siggen.288

[FONT=Times New Roman][SIZE=3]Здравствуйте! [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Данный троян создал по всему компьютеру 42 файла типа «имя_папки .exe» и процесс regsvr.exe, который занимает 50 % ЦП. Вся эта нечисть была удалена антивирусом Dr.Web с базами на декабрь 2008, после чего служба Windows Installer перестала работать, поэтому обновить Dr.Web сейчас невозможно (Интернет тоже отсутствует). Также не работает копирование и вставка файлов, не распознаются Flash-ки в обычном режиме, иногда сбивается системная дата на 2003 год.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]CureIT под рукой не было. Просканировал утилитой AVZ:[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Скрипт № 3 выводит синий экран STOP. (Хотя, скорее всего я сам виноват – забыл отключить антивирус).[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Скрипт № 2 – прикладываю.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Лог Hijackthis – прикладываю.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Что посоветуете: прогнать свежим CureIT-ом или можно что-либо сделать на основании этих логов?[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Спасибо![/SIZE][/FONT]
24.03.2009, 09:20
light59

Попробуйте сделать Скрипт № 3 при выгруженном антивирусе.
29.03.2009, 01:56
MihailKrasnodar

[SIZE=3][FONT=Times New Roman]Проверил новой версией CureIT в «безопасном режиме» – обнаружил ещё 8 файлов – Trojan.Autoruner [/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Скрипт № 3 сделал в безопасном режиме с Flash-карты. В обычном режиме высвечивается «синий экран», а в «безопасном» при запуске с рабочего стола AVZ прекращает работу, не создав логов.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Скрипт № 2 сделал в обычном режиме.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Также прикладываю лог Hijackthis[/SIZE][/FONT]
29.03.2009, 14:24
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи...

З.Ы. с SP1 далеко не уйдете...
30.03.2009, 15:05
MihailKrasnodar

Спасибо за помощь, но после выполнения этих скриптов ничего не изменилось. А так как людям нужно было срочно запустить компьютер, пришлось переустанавливать систему.
Теперь проблема в другом:
В ходе лечения этого компьютера я приносил все программы (Dr.Web, CureIT, Avz, Hijackthis) на Flash-ке. Логи записывал тоже на эту же Flash-ку и отправлял со своего домашнего компьютера на этот форум, предварительно просканировав Flash-ку своим Dr.Web-ом со свежими базами. Эту процедуру я делаю каждый раз в обязательном порядке. В последний раз Dr.Web ничего не обнаруживает, поэтому я считаю эту Flash-карту чистой иду с ней на третий компьютер – на работе, где вставлял её несколько раз. И вдруг заметил, что на ней появился точно такой же троян, как и на первом компьютере - E:\teen_movie.exe
Вернувшись домой, вставляю её в комп и Spider Guard мне выдаёт «файл инфицирован Win32.HLLW.Autoruner.1420». На рабочем компьютере файлы teen_movie.exe появились на всех дисках вместе с autorun.inf
Вопрос: мог ли я заразить «рабочий» компьютер, если каждый раз проверял flash-карту свежими базами?
Прочитал на этом форуме некоторые темы, где заражение происходило этим же вирусом, я заметил, что большинство случаев заканчивалось переустановкой системы, а в ходе лечения компьютеры начинают «глючить» ещё сильнее. На «рабочем» компьютере я себе не могу позволить даже сканирование, не говоря уже о переустановке. Вот теперь в раздумьях, нужно ли браться за этот компьютер на работе, или оставить всё как есть?
30.03.2009, 15:42
Гриша

[QUOTE]Вопрос: мог ли я заразить «рабочий» компьютер, если каждый раз проверял flash-карту свежими базами?[/QUOTE]

Могли...
30.03.2009, 16:15
MihailKrasnodar

[quote=Гриша;380003]Могли...[/quote]
В смысле, если этого вируса раньше в базах не было?
Так что, теперь вообще от Flash-карт отказываться и каждый раз CD записывать, когда документы нужно кинуть с домашнего компьютера на рабочий?
30.03.2009, 16:25
Гриша

Могло не быть...

[QUOTE]от Flash-карт отказываться и каждый раз CD записывать[/QUOTE]

Ваше дело...