Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Пытаюсь излечиться от Trojan.Game-Thief... (заявка № 52948)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54

    Exclamation Пытаюсь излечиться от Trojan.Game-Thief...

    Уже как месяц, комп заражен вирями - Trojan.PWS.WSGame, GameThief, downloader, и прочая прочая - не обращал внимания...(хотя и пытался чистить CureIt'ом - не помогало)... до тех пор, пока не украли акк в одной онлайн игре.
    После выполнил фулл скан CureIt в безопасном режиме, просканировал avz и hjackthis всё по правилам. Логи чуть ниже.
    Надеюсь на помощь со стороны спецов, заранее спасибо.
    Вложения Вложения
    Последний раз редактировалось Barry; 26.08.2009 в 14:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\Drivers\removeany.sys','');
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    Карантин выслал, закреплен в шапке темы.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    приложение 3 правил читаем ....

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    Цитата Сообщение от V_Bond Посмотреть сообщение
    приложение 3 правил читаем ....
    Всё, карантин залил. Сорри, не сразу вник что да куда. )

    Добавлено через 39 минут

    Пришел ли карантин? Отправил согласну приложению 3 правил.
    Последний раз редактировалось Barry; 26.08.2009 в 00:10. Причина: Добавлено

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Файл чистый. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    Проблема в том, что при беглом сканировании CureIt по прежнему находит всякие Trojan.Download.3242 (файл framdee.tff) и Trojan.MulDrop.18194 (msgmr.dll).
    При этом, есть подозрения, что те вири, что находились в безопасном режиме тем же CureIt при полной проверке - появятся вновь. Т.е. и TWS.WSgame, и Game-Thief.
    Есть какие рекомендации?

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Barry Посмотреть сообщение
    Проблема в том, что при беглом сканировании CureIt по прежнему находит всякие Trojan.Download.3242 (файл framdee.tff) и Trojan.MulDrop.18194 (msgmr.dll).
    Пришлите эти файлы согласно Приложения 2 правил

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(13);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    При попытке занести эти файлы в карантин, avz выдает следующее:
    Ошибка карантина файла, попытка прямого чтения (msgmr.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\msgmr.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\msgmr.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (framdee.ttf)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\framdee.ttf)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\framdee.ttf)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (wmsetup.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wmsetup.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wmsetup.dll)
    Карантин с использованием прямого чтения - ошибка
    Т.е. согласно 2 пункту правил, не получается.

    PS. Предыдущий карантин avz не высылать? Тот, что из DoctorWeb/Quarantine/, где идут те файлы, что заражены Trojan-GameThief.Win32.Magania разных вариаций... Просто они идут за 25-е число, avz отправил их в карантин при первом сканировии/лечении. А были они перед этим в карантине DrWeb'а после фулл сканирования.

    Скрипт пока не выполнял. Провести его, не смотря на нестыковки?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скрипт выполните. Файлы заархивируйте вручную с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Предыдущий карантин тоже можете прислать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    Карантин выслал (файл сохранен как 090826_140321_virus_4a950869215d2.zip). Скрипт выполнил. Логи чуть ниже.
    Вложения Вложения
    Последний раз редактировалось Barry; 26.08.2009 в 14:57.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - (no file)
    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\DOCUME~1\Barry\LOCALS~1\Temp\wmsetup.dll','');
     DeleteFile('C:\DOCUME~1\Barry\LOCALS~1\Temp\wmsetup.dll');
     QuarantineFile('C:\windows\fonts\framdee.tff','');
     DeleteFile('C:\windows\fonts\framdee.tff');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

    Добавлено через 4 минуты

    Цитата Сообщение от Barry Посмотреть сообщение
    При попытке занести эти файлы в карантин, avz выдает следующее:
    Т.е. согласно 2 пункту правил, не получается.
    AVZ/Сервис/Поиск файлов, ищите в папке c:\windows с поиском в подпапках.
    Последний раз редактировалось Rene-gad; 26.08.2009 в 15:37. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    Rene-gad
    После выполнения скрипта и перезагрузки системы - система виснет намертво в самом начале прогрузки Windows (возникновение из черного экрана "полоски" загрузки).
    Приходилось жать Reset, и только после этого система загружалась.
    То же самое происходило и при перезагрузке после выполнения п.1 диагностики через avz (скрипт лечения/карантина и сбора информации).
    Кэш, темпы очищал средствами браузеров Opera, Firefox, и утилитой Mars WinCleaner 1.7

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    AVZ/Сервис/Поиск файлов, ищите в папке c:\windows с поиском в подпапках.
    Весь предыдущий карантин, включая инфицированные троянцами- GameThief.Magania и PWS.WSGame а также файлы framdee.tff и msgmr.dll отправил в последнем карантине, сделав всё вручную, файл под паролем virus (имя файла постом выше).

    Свежие логи:
    Вложения Вложения
    Последний раз редактировалось Barry; 26.08.2009 в 17:59.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Батенька мой, а зачем же Вы весь карантин Др.Веб закачали?

    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Fonts\framdee.bak','');
     QuarantineFile('C:\Program Files\Messenger\msgmr.dll','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9LQK2HJ3\adsup[1].dll','');
     QuarantineFile('C:\WINDOWS\Fonts\Framdee.ttf','');
     DeleteFile('C:\WINDOWS\Fonts\Framdee.ttf');
     DeleteFile('C:\WINDOWS\Fonts\framdee.bak');
     DeleteFile('C:\Program Files\Messenger\msgmr.dll');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9LQK2HJ3\adsup[1].dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    ) Не знал, какой именно файл вам нужен из "предыдущего карантина".
    Скрипт проведу, правда хз, если снова зависнет при подгрузке винды, придётся резетом... Не пойдут ли изменения лесом?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Barry Посмотреть сообщение
    Не пойдут ли изменения лесом?
    No risk - no fun
    format c:\ - это наверняка

  18. #17
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    No risk - no fun
    format c:\ - это наверняка
    акей, пошел скриптить.)
    накрайняк format c надо сказать, вселяет надежду и уверенность xD
    ЗЫ Так всё-таки... если после перезагрузки от скрипта, загрузка винды прерывается резетом и начинается заново, вступают ли изменения, сделанные avz, в силу. ?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Barry Посмотреть сообщение
    если после перезагрузки от скрипта, загрузка винды прерывается резетом и начинается заново, вступают ли изменения, сделанные avz, в силу. ?
    Должны

  20. #19
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    33
    Вес репутации
    54
    И все же по каким таким причинам после лечения/помещения в карантин (п.1 диагностики), во время ребута система повисает?
    Кстате, во время вашего скрипта, в этот раз такого не произошло. Но произошло на 1п. диагностики, как обычно.
    Логи свежие выложил.
    Вложения Вложения

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFileMask('C:\Documents and Settings\Barry\Local Settings\Temp', '*.*', true);
    DeleteFileMask('C:\Documents and Settings\Barry\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Очистите папку с карантином DrWeb

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Barry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите излечиться от HEUR:Trojan.Win32.Generic
      От Антон99 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.04.2012, 01:26
    2. Помогите излечиться
      От smoky74rus в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.12.2009, 12:03
    3. Вирус Trojan Game Thief.Win32.WOW.hio
      От uranhai в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.05.2009, 11:36
    4. Вирус Trojan Game Thief.Win32.WOW.hio
      От uranhai в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 12.05.2009, 08:00
    5. Помогите излечиться от Trojan-Dropper.Win32.Agent.clv
      От RestartMyLife в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 09:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00704 seconds with 20 queries