Trojan.Packed.20xxx

**Hz1** · 05.06.2010, 17:22

Здравствуйте.

Проблемы такие же как в темах:
Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740
Trojan.Packed.20085, 20084
они возвращаются Trojan.Packed.20087
Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740
Trojan.Packed & Trojan.PWS.Ibank
[url=http://216.246.90.119/showthread.php?t=77548]Trojan.Packed.20032[url]

т.е долгая загрузка машины до окончательного состояния, какие-то странные подвисания в процессе работы, в брандмауре виндовс не удаляемый и неизменяемый "17409: TCP". Заблокированы сайты антивирусов и этот (пишу с другого компа).

Пользуюсь Мозиллой (3.6.3), IE крайне редко (стоит 8-ка). Обновления виндовс присутствуют.

А до этого установленным Dr.Web security space 6 с последними базами в безопасном режиме под админом удалил несколькоTrojan.Packed.20xxx и были Trojan.Bank (точных названий не помню честно говоря). Но видимо корень зла не был побеждён.

Прошу помощи. Заранее снимаю шляпу)
Нужные файлы прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 05.06.2010, 18:20

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\oyvcctp.exe,\\?\globalroot\systemroot\system32\obunNHh.exe,\\?\globalroot\systemroot\system32\s2i7qd8.exe,\\?\globalroot\systemroot\system32\KOc2yFq.exe,

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\oyvcctp.exe','');
 DeleteFile('C:\WINDOWS\system32\oyvcctp.exe');
 QuarantineFile('C:\WINDOWS\system32\obunNHh.exe','');
 DeleteFile('C:\WINDOWS\system32\obunNHh.exe');
 QuarantineFile('C:\WINDOWS\system32\s2i7qd8.exe','');
 DeleteFile('C:\WINDOWS\system32\s2i7qd8.exe');
 QuarantineFile('C:\WINDOWS\system32\KOc2yFq.exe','');
 DeleteFile('C:\WINDOWS\system32\KOc2yFq.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=80236).
Сделайте новые логи (gmer не надо).

**Hz1** · 05.06.2010, 20:22

Сообщение от Bratez

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=80236).
Сделайте новые логи (gmer не надо).

Карантин загружен:

Файл сохранён как 100605_185620_virus_4c0a65940568c.zip
Размер файла 28737
MD5 3c6efc6fb7e69ada93c02477a0b2ba0f
__________________________________________________ _______________
Прилагаю новые логи

**thyrex** · 05.06.2010, 22:10

На всякий случай

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**Hz1** · 05.06.2010, 22:25

Логи RSIT

**thyrex** · 05.06.2010, 22:30

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\UhhDQjY.exe','');
DeleteFile('C:\WINDOWS\system32\UhhDQjY.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Новых логов не нужно

Установите Adobe Acrobat 9.3 или удалите старый

**Hz1** · 05.06.2010, 22:52

Сообщение от thyrex

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Файл сохранён как 100605_224848_virus_4c0a9c102d566.zip
Размер файла 61532
MD5 b79c15a4e7d3b1326eff7ca72492bcaa
__________________________________________________ ____________
Спасибо большое за помощь.
Оно не вернётся? Просьба тему пока не закрывать, я ведь их лечил уже до этого.. может и это ещё не конец(

Восстановление системы можно включать? А эта беда "17409: TCP" так и торчит в брандмауэре и ничего с ней нельзя сделать((

**thyrex** · 05.06.2010, 23:16

Включайте.

**CyberHelper** · 06.06.2010, 23:16

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 12
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\oyvcctp.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.MulDrop1.17819, AVAST4: Win32:Rootkit-gen [Rtk] )
2. c:\windows\system32\uhhdqjy.exe - Trojan-Dropper.Win32.Shiz.dc ( NOD32: Win32/Spy.Shiz.NAW trojan, AVAST4: Win32:Spyware-gen [Spy] )