Trojan.Packed.140

**Redis** · 27.12.2007, 14:29

Здраствуйте!
Заходишь в мой компьютер, нажимаешь любой локальный диск, открывается в новом окне, хотя в свойствах стоит "открывать в одном окне"
Создаются файлы autorun.inf, uxdeiect.com, usdeiect.com на дисках.
Нельзя отобразить скрытые файлы и запустить некоторые приложения.
Проверяю антивирусом (avast!4.7), базы новые, ничего не видит.
Тестировал CureIT в безопасном режиме - найдены Trojan.PWS.Wsgame.2387 (C:\uxdeiect.com), Trojan.Packed.140 (C:\WINDOWS\system32\amvo1.dll), Trojan.PWS.Wsgame.2387 (D:\uxdeiect.com), Trojan.PWS.Wsgame.2387 (G:\uxdeiect.com)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 27.12.2007, 14:36

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('G:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('ASPI32');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

**Redis** · 27.12.2007, 15:15

Карантин выслал!

**Bratez** · 27.12.2007, 15:24

Выполните такой скрипт:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\usdeiect.com');
 DeleteFile('D:\usdeiect.com');
 DeleteFile('G:\usdeiect.com');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ASPI32');
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи.

**Redis** · 27.12.2007, 16:06

Что делать дальше?

**Bratez** · 27.12.2007, 16:11

Больше ничего подозрительного нет.
Рекомендуется отключить все что вам не нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

**Redis** · 27.12.2007, 16:20

А как отключить!?
Галочку убрать с "отключить восстановление системы на всех дисках"!?

Добавлено через 4 минуты

Скрытые файлы и папки не видны

**Bratez** · 27.12.2007, 16:26

Скажите, что не нужно, сделаем скрипт.
Галочку можно убрать.

**Redis** · 27.12.2007, 16:35

Не нужно:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Добавлено через 2 минуты

Папки скрытые не видны.

**Bratez** · 27.12.2007, 16:37

Вот скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

Если есть локалка - первую строчку после begin уберите.
Показ скрытых должен заработать.

**Redis** · 27.12.2007, 16:53

Всё работает, скрытые файлы и папки видны!
Огромное спасибо!

**Bratez** · 27.12.2007, 16:55

Спасибо у нас не говорят, а нажимают

**CyberHelper** · 22.02.2009, 03:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 18
В ходе лечения обнаружены вредоносные программы:
1. c:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)
2. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.mhp (DrWEB: Trojan.PWS.Wsgame.2387)
3. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.mhp (DrWEB: Trojan.PWS.Wsgame.2387)
4. d:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)
5. g:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)

Trojan.Packed.140 (заявка № 15721)

Опции темы

Trojan.Packed.140

Новые логи

Спасибо!

Итог лечения

Похожие темы

Проверка после Backdoor.Tishop, Trojan.Packed, Trojan.Carberp и др.

Работа вирусов Trojan.MulDrop1.45079, Trojan.WinSpy.935, Trojan.Packed.20771

[WinXP] Trojan.PWS.Ibanck.183, Trojan.Packed.20771, Backdoor.Win32.Shiz.zh

BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert

Trojan.Packed.140 и Trojan.Nsanti.Packed

Ваши права в разделе