Trojan.Packed.20xxx

Printable View

05.06.2010, 17:22
Hz1

Trojan.Packed.20xxx

Здравствуйте.

Проблемы такие же как в темах:
[URL="http://virusinfo.info/showthread.php?t=74141"]Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740[/URL]
[URL="http://virusinfo.info/showthread.php?t=77531"]Trojan.Packed.20085, 20084[/URL]
[URL="http://virusinfo.info/showthread.php?t=77740"]они возвращаются Trojan.Packed.20087[/URL]
[URL="http://216.246.91.178/%7Evirusinf/showthread.php?t=74141"]Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740[/URL]
[URL="http://216.246.91.178/%7Evirusinf/showthread.php?t=77032"]Trojan.Packed & Trojan.PWS.Ibank[/URL]
[url=http://216.246.90.119/showthread.php?t=77548]Trojan.Packed.20032[url]

т.е долгая загрузка машины до окончательного состояния, какие-то странные подвисания в процессе работы, в брандмауре виндовс не удаляемый и неизменяемый "17409: TCP". Заблокированы сайты антивирусов и этот (пишу с другого компа).

Пользуюсь Мозиллой (3.6.3), IE крайне редко (стоит 8-ка). Обновления виндовс присутствуют.

А до этого установленным Dr.Web security space 6 с последними базами в безопасном режиме под админом удалил несколькоTrojan.Packed.20xxx и были Trojan.Bank (точных названий не помню честно говоря). Но видимо корень зла не был побеждён.

Прошу помощи. Заранее снимаю шляпу)
Нужные файлы прилагаю.
05.06.2010, 18:20
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\oyvcctp.exe,\\?\globalroot\systemroot\system32\obunNHh.exe,\\?\globalroot\systemroot\system32\s2i7qd8.exe,\\?\globalroot\systemroot\system32\KOc2yFq.exe,
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oyvcctp.exe','');
DeleteFile('C:\WINDOWS\system32\oyvcctp.exe');
QuarantineFile('C:\WINDOWS\system32\obunNHh.exe','');
DeleteFile('C:\WINDOWS\system32\obunNHh.exe');
QuarantineFile('C:\WINDOWS\system32\s2i7qd8.exe','');
DeleteFile('C:\WINDOWS\system32\s2i7qd8.exe');
QuarantineFile('C:\WINDOWS\system32\KOc2yFq.exe','');
DeleteFile('C:\WINDOWS\system32\KOc2yFq.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=80236[/url]).
Сделайте новые логи (gmer не надо).
05.06.2010, 20:22
Hz1

[QUOTE=Bratez;650022]Пришлите карантин согласно приложению 3 правил
(загружать тут: [URL]http://virusinfo.info/upload_virus.php?tid=80236[/URL]).
Сделайте новые логи (gmer не надо).[/QUOTE]

Карантин загружен:

Файл сохранён как 100605_185620_virus_4c0a65940568c.zip
Размер файла 28737
MD5 3c6efc6fb7e69ada93c02477a0b2ba0f
_________________________________________________________________
Прилагаю новые логи
05.06.2010, 22:10
thyrex

На всякий случай

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
05.06.2010, 22:25
Hz1

Логи RSIT
05.06.2010, 22:30
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\UhhDQjY.exe','');
DeleteFile('C:\WINDOWS\system32\UhhDQjY.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Новых логов не нужно

Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
05.06.2010, 22:52
Hz1

[QUOTE=thyrex;650100]Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]

Файл сохранён как 100605_224848_virus_4c0a9c102d566.zip
Размер файла 61532
MD5 b79c15a4e7d3b1326eff7ca72492bcaa
______________________________________________________________
Спасибо большое за помощь.
Оно не вернётся? Просьба тему пока не закрывать, я ведь их лечил уже до этого.. может и это ещё не конец(

Восстановление системы можно включать? А эта беда "17409: TCP" так и торчит в брандмауэре и ничего с ней нельзя сделать((
05.06.2010, 23:16
thyrex

Включайте.
06.06.2010, 23:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\oyvcctp.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.MulDrop1.17819, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\uhhdqjy.exe - [B]Trojan-Dropper.Win32.Shiz.dc[/B] ( NOD32: Win32/Spy.Shiz.NAW trojan, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]