ПоследствияTrojan.Packed.20771

[narvegest]

Перестали открываться сайты антивирусов, TheBat перестал забирать почту и "здох" нод32. DrWebСureit нашел Trojan.Packed.20771 - вроде как удалил. Поставил как основной антивирус DRWEB, он снова нашел этот вирус при полной проверке и снова удалил. Проверил опять - вроде всё чисто, но проблемы остались... Помогите пожалуйста.

[DefesT]

Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('c:\windows\system32\7b0ba0a7.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\zk1rouh.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\v6qysms.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\rjaxdyy.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\racj5ws.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\pqyrrao.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\owtkxba.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\njf78mk.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\mcyykwz.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\kk0w09m.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\h6pyhck.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\enyaxmy.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\dwcocyp.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\aj0ozcd.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\9zrjp2r.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\9jndgxv.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\4iglftn.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\3fmkvoi.exe','');
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0567636135-6511428163-760613248-3175\nissan.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cc2_io.sys','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0567636135-6511428163-760613248-3175\nissan.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\3fmkvoi.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\4iglftn.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\9jndgxv.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\9zrjp2r.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\aj0ozcd.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\dwcocyp.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\enyaxmy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\h6pyhck.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\kk0w09m.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\mcyykwz.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\njf78mk.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\owtkxba.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\pqyrrao.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\racj5ws.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\rjaxdyy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\v6qysms.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\zk1rouh.exe');
 DeleteFile('c:\windows\system32\7b0ba0a7.exe');
 DeleteFile('C:\thumbs.db');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)

[narvegest]

Сделал

[Bratez]

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\7b0ba0a7.exe,\\?\globalroot\systemroot\system32\njf78mk.exe,\\?\globalroot\systemroot\system32\zk1rouh.exe,\\?\globalroot\systemroot\system32\kk0w09m.exe,\\?\globalroot\systemroot\system32\pqyrrao.exe,\\?\globalroot\systemroot\system32\aj0ozcd.exe,\\?\globalroot\systemroot\system32\racj5ws.exe,\\?\globalroot\systemroot\system32\9zrjp2r.exe,\\?\globalroot\systemroot\system32\v6qysms.exe,\\?\globalroot\systemroot\system32\mcyykwz.exe,\\?\globalroot\systemroot\system32\4iglftn.exe,\\?\globalroot\systemroot\system32\h6pyhck.exe,\\?\globalroot\systemroot\system32\rjaxdyy.exe,\\?\globalroot\systemroot\system32\9jndgxv.exe,\\?\globalroot\systemroot\system32\dwcocyp.exe,\\?\globalroot\systemroot\system32\3fmkvoi.exe,\\?\globalroot\systemroot\system32\enyaxmy.exe,\\?\globalroot\systemroot\system32\owtkxba.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll (file missing)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-0567636135-6511428163-760613248-3175\nissan.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\3fmkvoi.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\4iglftn.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\9jndgxv.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\9zrjp2r.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\aj0ozcd.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\dwcocyp.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\enyaxmy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\h6pyhck.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\kk0w09m.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\mcyykwz.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\njf78mk.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\owtkxba.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\pqyrrao.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\racj5ws.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\rjaxdyy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\v6qysms.exe');
 DeleteFile('c:\windows\system32\7b0ba0a7.exe');
 DeleteFile('C:\thumbs.db');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[narvegest]

Пофиксить всё не смог т.к. не было этих пунктов: F2... - длинный адрес не вставлял и O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
Всё работает на данный момент.

[thyrex]

Плохого не видно

Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите JavaRE