Trojan.Siggen.288

[MihailKrasnodar]

Здравствуйте!
Данный троян создал по всему компьютеру 42 файла типа «имя_папки .exe» и процесс regsvr.exe, который занимает 50 % ЦП. Вся эта нечисть была удалена антивирусом Dr.Web с базами на декабрь 2008, после чего служба Windows Installer перестала работать, поэтому обновить Dr.Web сейчас невозможно (Интернет тоже отсутствует). Также не работает копирование и вставка файлов, не распознаются Flash-ки в обычном режиме, иногда сбивается системная дата на 2003 год.
CureIT под рукой не было. Просканировал утилитой AVZ:
Скрипт № 3 выводит синий экран STOP. (Хотя, скорее всего я сам виноват – забыл отключить антивирус).
Скрипт № 2 – прикладываю.
Лог Hijackthis – прикладываю.
Что посоветуете: прогнать свежим CureIT-ом или можно что-либо сделать на основании этих логов?
Спасибо!

[light59]

Попробуйте сделать Скрипт № 3 при выгруженном антивирусе.

[MihailKrasnodar]

Проверил новой версией CureIT в «безопасном режиме» – обнаружил ещё 8 файлов – Trojan.Autoruner
Скрипт № 3 сделал в безопасном режиме с Flash-карты. В обычном режиме высвечивается «синий экран», а в «безопасном» при запуске с рабочего стола AVZ прекращает работу, не создав логов.
Скрипт № 2 сделал в обычном режиме.
Также прикладываю лог Hijackthis

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи...

З.Ы. с SP1 далеко не уйдете...

[MihailKrasnodar]

Спасибо за помощь, но после выполнения этих скриптов ничего не изменилось. А так как людям нужно было срочно запустить компьютер, пришлось переустанавливать систему.
Теперь проблема в другом:
В ходе лечения этого компьютера я приносил все программы (Dr.Web, CureIT, Avz, Hijackthis) на Flash-ке. Логи записывал тоже на эту же Flash-ку и отправлял со своего домашнего компьютера на этот форум, предварительно просканировав Flash-ку своим Dr.Web-ом со свежими базами. Эту процедуру я делаю каждый раз в обязательном порядке. В последний раз Dr.Web ничего не обнаруживает, поэтому я считаю эту Flash-карту чистой иду с ней на третий компьютер – на работе, где вставлял её несколько раз. И вдруг заметил, что на ней появился точно такой же троян, как и на первом компьютере - E:\teen_movie.exe
Вернувшись домой, вставляю её в комп и Spider Guard мне выдаёт «файл инфицирован Win32.HLLW.Autoruner.1420». На рабочем компьютере файлы teen_movie.exe появились на всех дисках вместе с autorun.inf
Вопрос: мог ли я заразить «рабочий» компьютер, если каждый раз проверял flash-карту свежими базами?
Прочитал на этом форуме некоторые темы, где заражение происходило этим же вирусом, я заметил, что большинство случаев заканчивалось переустановкой системы, а в ходе лечения компьютеры начинают «глючить» ещё сильнее. На «рабочем» компьютере я себе не могу позволить даже сканирование, не говоря уже о переустановке. Вот теперь в раздумьях, нужно ли браться за этот компьютер на работе, или оставить всё как есть?

[Гриша]

Вопрос: мог ли я заразить «рабочий» компьютер, если каждый раз проверял flash-карту свежими базами?

Могли...

[MihailKrasnodar]

Могли...

В смысле, если этого вируса раньше в базах не было?
Так что, теперь вообще от Flash-карт отказываться и каждый раз CD записывать, когда документы нужно кинуть с домашнего компьютера на рабочий?

[Гриша]

Могло не быть...

от Flash-карт отказываться и каждый раз CD записывать

Ваше дело...