Подцепил злого трояна

Здравствуйте.

По собственной глупости собственоручно скачал и запустил некий .exe файл, считая его полезной утилитой. Сейчас же достоверно знаю что это был троян. Программа отработала, комп ушел на перезагрузку, после этого программа удалилась сама (но осталась в скачанном архиве, так что если потребуется - выложу для просмотра).

Что делает троян я незнаю. Из заметного: Касперский 6.0 стал ругаться следующими сообщениями:

обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\svchost.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\Explorer.EXE
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\system32\winlogon.exe
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

08.10.2006 12:14:33 Процесс C:\WINDOWS\Explorer.EXE (PID: 260): попытка внедрения в другой процесс заблокирована.
08.10.2006 12:45:38 Процесс C:\WINDOWS\System32\svchost.exe (PID: 1404): попытка внедрения в другой процесс заблокирована.

(таких попыток внедрения много, сообщение выскакивает часто).

Прикладываю логи:

[quote=arman]По собственной глупости собственоручно скачал и запустил некий .exe файл, считая его полезной утилитой. Сейчас же достоверно знаю что это был троян. Программа отработала, комп ушел на перезагрузку, после этого программа удалилась сама (но осталась в скачанном архиве, так что если потребуется - выложу для просмотра).
[/quote]
пришлите эту программу по правилам форума

пофиксите с помощью HijackThis следующие строки:
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe (file missing)

также пришлите по правилам форума файл:
c:\program files\windows defender\msmpeng.exe

Закачал по правилам форума два необходимых файла.

Еще новую фигню какую-то получил, уж незнаю как это относится к сабжу данной темы:

Немогу запустить\открыть любой файл, получаю сообщение:

"Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту."

Диспетчер задач неоткрывается.

Ушел на перезагрузку :(

[quote=arman]Еще новую фигню какую-то получил, уж незнаю как это относится к сабжу данной темы:

Немогу запустить\открыть любой файл, получаю сообщение:

"Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту."

Диспетчер задач неоткрывается.

Ушел на перезагрузку :([/quote]
не запускаются только *.exe файлы?
проводник Windows работает? если да, то переименуйте в нем AVZ.exe в 1.com и таким образом запускайте.
выберите в AVZ меню Файл -> Восстановление системы, отметьте все пункты и нажмите "Выполнить..."


присланный Вами antipioner.exe по мнению некоторых антивирусов подозревается на вредоносный, рекомендую его удалить.

STATUS: FINISHEDComplete scanning result of "avz00005.dta", received in VirusTotal at 10.09.2006, 10:13:46 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.09.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.08.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.08.2006 BehavesLike:Trojan.WinlogonHook
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.09.2006 no virus found
DrWeb 4.33 10.08.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3123 10.09.2006 no virus found
Ewido 4.0 10.08.2006 no virus found
Fortinet 2.82.0.0 10.09.2006 suspicious
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.09.2006 no virus found
Kaspersky 4.0.2.24 10.09.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.09.2006 no virus found
NOD32v2 1.1794 10.06.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 10.06.2006 no virus found
Panda 9.0.0.4 10.08.2006 no virus found
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.094 10.08.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.08.2006 no virus found
VirusBuster 4.3.7:9 10.08.2006 no virus found


Aditional Information
File size: 61440 bytes
MD5: 87aaeca3dff3825ade902d773b842499
SHA1: 76e47e205ecce7b1384cb9d5e2c186e16f631935
packers: EXECryptor

Топикстартер, выложи куда-нибудь файло на хост и скинь мне ссылку в асю. А то все никак не могу выцепить этот экзешник, вторую прогу от дебугера тоже по возможности выложи. Я сделаю анализ и отпишусь на МХ.

Шуму-то подняли...

[I]To MOCT:[/I] Незапускались все файлы, неоткрывались каталоги. Эксплорер не работал. Перегрузился - заработало.

При всем моем уважении - я и сам знаю что файл тот опасный. Троян этот отработал, а вот что именно он делает и как избавиться от последствий - вот в чем вопрос.

Щас буду пробовать BitDefender'ом проверяться.

Может подскажите что этот файл наделал и как избавиться от последствий?

[quote=Xen]Топикстартер, выложи куда-нибудь файло на хост и скинь мне ссылку в асю. А то все никак не могу выцепить этот экзешник, вторую прогу от дебугера тоже по возможности выложи. Я сделаю анализ и отпишусь на МХ.

Шуму-то подняли...[/quote]

Я там по просьбе МОСТ'а заливал этот файл (вторая прога от дебагера) по правилам форума, если ты не можешь его посмотреть - скажи, я залью куда-нить в другое место.

И на МХ вроде уже кто-то заливал все это файло.

[quote=Xen]Топикстартер, выложи куда-нибудь файло на хост и скинь мне ссылку в асю. А то все никак не могу выцепить этот экзешник, вторую прогу от дебугера тоже по возможности выложи. Я сделаю анализ и отпишусь на МХ.
Шуму-то подняли...[/quote]
сам-то чего шум поднял? файлы высланы по правилам форума, зачем их по сто раз заливать? для хелперов уже есть специальная страница, откуда можно скачать все залитые файлы не получая извещений по электронной почте...

[quote=arman]
При всем моем уважении - я и сам знаю что файл тот опасный. Троян этот отработал, а вот что именно он делает и как избавиться от последствий - вот в чем вопрос.

Может подскажите что этот файл наделал и как избавиться от последствий?[/quote]
я уже сказал с чего начать - исправить систему из AVZ

[quote=MOCT]я уже сказал с чего начать - исправить систему из AVZ[/quote]

Я сделал это сразу как вы сказали.

Присланный файл antipioner.exe дествительно после запуска удаляет себя с помощью bat файла, создаваемого во временной папке и перезагружает компьютер. А еще он записывает в папку \WINDOWS\system32 файл wsp2update.dll (40960 байт) у вас есть такой?

[quote=AndreyKa]Присланный файл antipioner.exe дествительно после запуска удаляет себя с помощью bat файла, создаваемого во временной папке и перезагружает компьютер. А еще он записывает в папку \WINDOWS\system32 файл wsp2update.dll (40960 байт) у вас есть такой?[/quote]

Такого файла я не нашел у себя.

а подключение к интернету через что - модем, GPRS и т.п.?

adsl
256 кбит

судя по старым логам, никаких последствий после запуска трояна не наступило. то ли ему соединение не понравилось, то ли он без IE работать не может - одним словом не прижился на компьютере. для профилактики можете сделать новые логи, только перед этим закройте все программы, которые устанавливали на компьютер сами (кроме браузера).