-
Junior Member
- Вес репутации
- 61
Троян OnLineGames и некорректная работа системы
Добрый день, прошу помочь в решении следующей проблемы!
На все диски и флешки пишется файлик ysyjq1bs.exe и autoran.inf которые НОДом 32 на здоровом компьютере определяются как win23/psw.onlinegames.oum и win23/psw.onlinegames.pbj
Кроме того имеет место следующая некорректная работа системы:
1)Не показываются скрытые файлы
2)Нет иконок программ (например антивируса) в трее
3)При запуске "мой компьютер" папка диска (только диска) открывается в новой папке (этот глюк благополучно исчез после выполнения скриптов в АВЗ)
4)при подключении нового жесткого диска, а так же флешек винда выдает "Невозможно найти программу для установки Volume. Обратитесь к поставщику" и так каждый раз (правда насчет этого пункта, думаю с вирусами он не связан)
Сделал проверку Курьетом - он нашел herss.exe - Trojan.PSW.Wsgame.12661 и все те же ysyjq1bs.exe - Trojan.PSW.Wsgame.12661
Логи сделал. Прошу помочь в решении проблемы!
P.S.: Несколько дней назад уже сталкивался с этим onlinegames и поборол его (записи авторана на флешки и диски прекратились) Симптомы тогда были такие же. А так же с помощью АВЗ грохнул какого-то троянца-кейлоггера. Единственное - возможность видеть скрытые файлы не вернулась, пришлось ее включать через командную строку вручную. Я конечно понимаю, что это маловероятно, но нельзя ли определить как-нить откуда берется эта гадость?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('globalroot\systemroot\system32\nLj2i6G.exe','');
QuarantineFile('C:\WINDOWS\system32\9da84ef1.exe','');
QuarantineFile('C:\WINDOWS\system32\71e44028.exe','');
DeleteFile('C:\WINDOWS\system32\71e44028.exe');
DeleteFile('C:\WINDOWS\system32\9da84ef1.exe');
DeleteFile('globalroot\systemroot\system32\nLj2i6G.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Проверьте наличие файла sfcfiles.dll в папке system32. Если не найдется, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил. Карантин загрузил:
Файл сохранён как 100417_192244_virus_4bc9d244157a5.zip
Размер файла 29707
MD5 95c8895dc4eb2468b30654517523a6ad
Файла sfcfiles.dll не было, восстановил его с дистрибутива.
Сделал новые логи.
Одна из проблем исчезла - больше нет ошибки "Невозможно найти программу для установки Volume. Обратитесь к поставщику." (насколько я понимаю это связанно с недостающим файлом?) Но другие проблемы пока остались, кроме того добавилась еще одна: в моем компьютере диски не открываются, а появляется окно с предложением выбора программы для открытия.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\nLj2i6G.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
DeleteFile('C:\WINDOWS\system32\nLj2i6G.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(19);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил. Карантин загрузил:
Файл сохранён как 100417_230003_virus_4bca053312f01.zip
Размер файла 32144
MD5 8cfd09d97d959354bfe40e30ecf30aa2
Новые логи сделал.
Проблема с открытием дисков в Моем Компьютере исчезла, но остальные все еще есть. Опять появились ysyjq1bs.exe Так же заметил что слетел запрет на автозапуск с дисков\флешек
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\ysyjq1bs.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\ysyjq1bs.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cvasds0.dll','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cvasds0.dll');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
DeleteFile('C:\ysyjq1bs.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\ysyjq1bs.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\ysyjq1bs.exe');
DeleteFile('H:\ysyjq1bs.exe');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил. Карантин закачал:
Файл сохранён как 100418_101518_virus_4bcaa376538f2.zip
Размер файла 391709
MD5 0f7f81cca750bdfc8340d7bccd71b193
Новые логи сделал
Файлов авторана и ysyjq1bs.exe не видно, но по прежнему нельзя в свойствах папки поставить галочку "показывать скрытые файлы и папки" и антивирус не отображается в трее.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Сделал еще раз полную проверку Курьетом, результат прикрепляю (надеюсь это не против правил?) Собственно там ничего особенного нет (самый последний файл в логе - был еще давно записан на диск специально, хотел его передать на сайт Др.Веб, но забыл), кроме каких-то Exploit.Java. с которыми Курьет почему-то ничего не сделал.
Затем запустил ComboFix. Компьютер 4 раза перезагружался. После окончания работы возможность видеть скрытые файлы вернулась. Правда слетели многие настройки: запрет автозапуска, настройки оповещения системы безопасности и т.д. но это я все вроде вернул.
Собственно осталась всего одна проблема: по прежнему в трее нет значков программ: звука, антивируса и т.д. не смотря на то, что в настройках они помечены как "всегда отображать" И после этого ComboFix появилась новая напасть: нет панели языка в панели задач. При ее включении выделяется разделителем лишь место для нее, а самой иконки с выбором языка нет, что очень неудобно
-
Junior Member
- Вес репутации
- 61
Небольшое дополнение: В Панели управления: языки и региональные стандарты->языки и службы текстового ввода кнопка "языковая панель" в области "настройка" не доступна. И еще перестал работать эмулятор Daemon Tools. При загрузке пишет:
Initialization error 0.
This program requires at least Windows 200 with SPTD 1.53 or higher.
Kernel debugger must be deactivated.
(правда переустановка эмулятора решила дело)
Последний раз редактировалось KsunReh; 18.04.2010 в 19:11.
-
Языковую панель не старайтесь вернуть самостоятельно. Она вернется после удаления ComboFix
Файлы
Код:
c:\windows\system32\dbghlp.dll . . . is infected!!
c:\windows\System32\wuauclt.exe ... is missing !!
замените (первый файл) или восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"DcomLaunch"="DcomLaunch, TermService"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
По поводу пропадания иконок в трее посмотрите совет AtomNN здесь
Последний раз редактировалось thyrex; 18.04.2010 в 20:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
thyrex
Не совсем понял. wuauclt.exe я в дистрибутиве нашел и записал на комп, а вот dbghlp.dll что-то нет ни в дистрибутиве, ни у меня в системе И там и там есть только dbghelp.dll
-
Упс, ошибочка вышла
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\dbghlp.dll','');
DeleteFile('c:\windows\system32\dbghlp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил. Карантин загрузил:
Файл сохранён как 100418_220417_virus_4bcb49a156829.zip
Размер файла 101978
MD5 861703c6eecc313642d8ddb60187d3f3
(Только мне непонятно: АВЗ делает 1 папку на целый день, т.к. все эти файлы в карантине я уже вроде отсылал?)
И я правильно сделал, что записал wuauclt.exe на комп или мне его удалить?
И вот это:
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
мне делать или нет?
-
Да, рекомендацию по ComboFix делать
Сообщение от
KsunReh
wuauclt.exe на комп или мне его удалить?
Это нужный системный файл
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Сделал лог ComboFix
Все необходимые значки вернулись в трей
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Да, я же написал:
Скрипт выполнил. Карантин загрузил:
Файл сохранён как 100418_220417_virus_4bcb49a156829.zip
Размер файла 101978
MD5 861703c6eecc313642d8ddb60187d3f3
Насчет
По поводу пропадания иконок в трее посмотрите совет AtomNN здесь
у меня все эти ветки есть и значения в них совпадают. Впрочем, как уже говорил, после второго прогона ComboFix проблема исчезла.
Последний раз редактировалось KsunReh; 18.04.2010 в 23:02.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\dbghlp.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61