Новый вирь (или модификация). Тянет с инета Murlo (wmsetup.dll и abb.gif)
На машине сидит нечто, что периодически лезет в инет и тянет Murlo.
Поставил себе Касперского, и пока исп. срок не закончился он выдавал:
- 18.09.2008 15:39:45 Файл ...\Local Settings\Temporary Internet Files\Content.IE5\EPZQ4T3U\abb[1].gif удален.
- 18.09.2008 15:04:11 Вредоносный HTTP-объект <abb.633f94d3.info/abb.gif>: обнаружено: троянская программа 'Trojan-Downloader.Win32.Murlo.nn'.
17.09.2008 19:01:34 Файл C:\DOCUME~1\ISOLOV~1\LOCALS~1\Temp\wmsetup.dll, обнаружено: троянская программа 'Trojan-Downloader.Win32.Murlo.nn'.
Сейчас AVG ругается аналогично.
Смотрел на эти файлы через FileMonitor: чаще всего их создает и использует процесс svchost. Но, покопавшись в его потоках ничего явно подозрительного не обнаружил.
Также бывает что эти файлы создает IE или просто explorer.
При сообщении
- 18.09.2008 15:04:11 Вредоносный HTTP-объект <abb.633f94d3.info/abb.gif>: обнаружено:
машина имела подключение (HTTPView) по адресу 60.191.223.76 (процесс System с PID 4)
Если пустить процесс на самотек, то скачивается огромное количество вирусов в основном на тему паролей играм.
В процессе борьбы мной были обнаружены и отправлены Касперскому новые вирусы (Trojan-Proxy.Win32.Agent.axl, Trojan-GameThief.Win32.OnLineGames.suaq), но оставшийся на машине мне не по зубам!
Помогите пожалуйста!
PS: требуемые логи прилагаются.
Последний раз редактировалось Rene-gad; 19.09.2008 в 15:05.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Сделал как Вы сказали и карантин выслал. Но, в карантине указанные файлы (comuidsg.dll и explore.exe) имеют все равно нулевой размер. Эти файлы я не мог найти на диске еще до процедуры, когда попытался поискать их FAR-ом.
PS: explore.exe был как раз одним из новых найденных вирусов (Trojan-GameThief.Win32.OnLineGames.suaq) найденных на моем компьютере. Теперь Касперский его
определяет и уничтожает.
Логи сделанные по правилам прикрепляю.
Не знаю важно ли:
когда чистил temp папки в соответствии с планом действий, обнаружил что C:\WINDOWS\Temp\Perflib_Perfdata_168.dat держится. Кто держит пока не разбирал.
При перезагрузке после выполнения скрипта система очень долго тормозила, когда подержал Power "снялась с ручника" перезагрузилась.
Последний раз редактировалось Rene-gad; 19.09.2008 в 16:07.
Искал я их FAR-ом - (файловый менеджер) - просто поиск файла как такового.
Каспер не мог их убить - он в отрубе - вчера срок временного использования истек.
AVG тоже их не убивал.
Наличие проблем выясняю - запустил FileMonitor и включил AVG - если больше wmsetup и abb.gif не будут качаться, то проблема решена. Но если это произойдет, то я сильно удивлюсь, потому что не понял какпроблема пофиксилась.
Добавлено через 49 минут
Проблема осталась . Только что svchost проверил наличие C:\WINDOWS\TEMP\wmsetup.dll на диске. Ее там нет, конечно, но это показывает что вирус остался.
Что делать? У меня никаких идей .
Добавлено через 7 минут
Кстати, по поводу файлов, которые не удалось прислать на карантин. Они действительно отсутствуют.
Дело в том, что я вчера остановил Каспера (вчера он еще работал), так как он блокировал скачанные вирусы и я не мог понять кто их качает и кто ими пользуется.
В ходе эксперимента я зазевался и не отрубил вовремя сеть. В результате получил букет вирусов, в том числе comuidsg.dll и explore.exe. Спохватившись, я запустил Каспера и он все вылечил. Вот и запись в логах есть:
18.09.2008 13:34:34 Файл C:\WINDOWS\system32\comuidsg.dll, обнаружено: троянская программа 'Trojan-GameThief.Win32.OnLineGames.tgwg'.
18.09.2008 13:35:27 Файл c:\windows\system32\explore.exe, обнаружено: троянская программа 'Trojan-GameThief.Win32.OnLineGames.suaq'.
Так что на сегодняшнее утро, когда я запускал avz4 файлов этих в системе действительно не было.
Последний раз редактировалось IgorSevas; 19.09.2008 в 17:19.
Причина: Добавлено
Команду выполнил сегодня утром (на выходных доступа к рабочему компу не было). Вроде бы помогло, но буду еще наблюдать.
Минус только в том, что зверя не отловили...
Вообще интересная команда. Я через Windows update ставил кучу обновлений, в том числе SP3. Сейчас мне их ставить не предлагают. Вот и думаю я - то ли эта команда учитывала новые версии файлов, то ли все вернулось в SP2, но ставить SP3 мне уже не предложат?
Логи прикрепляю. Еще прикрепляю файл wmsetup.log который вдруг нашелся на диске. Не уверен, что он имеет отношение к проблеме (может имя случайно совпало?), но на всякий случай прикреплю.
Зверь был неизвестный науке, потому как ни один из 5-ти антиввирусов его не мог обнаружить и убить. Вышеуказанная команда, судя по всему, помогла, но для опытов образец утерян, как я понимаю, безвозвратно.
Эдакая ковровая бомбардировка .
Сообщение от Rene-gad
Это же Вы писали
Наверное мы друг-друга недопоняли.
Я писал следующее:
1. Каспера я прогонял за день ДО того как делал логи и публиковал здесь. Каспер убил _известные_ вирусы, но тот вирус что сидел у меня и качал wmsetup так и остался. (Я имею ввиду антивирус Касперского, а не тулзу, которая запускается для сбора логов)
2. На следующий день я прогнал тулзу и опубликовал логи, Вы попросили файлы, которых на диске не было еще со вчерашнего дня и поэтому в карантин ничего не попало. Я лишь объяснил почему карантин пустой (см. пункт 1). Касперский убил те файлы за день до того - в них были известные вирусы.
Сообщение от Rene-gad
Команда прежде чем заменить файл проверяет его на подлинность происхождения.
В логах ничего плохого не вижу.
Почистите темы, кэши и пр. Системное восстановление пока не включайте.
Хорошо! Спасибо большое! Вы мне очень помогли!
Добавлено через 1 час 8 минут
Еще впечатления от пережитого для истории:
По всей видимости вирус не сидел резидентом, по крайней мере найти какой-нибудь зараженный поток не удавалось никак. Думаю испорчена была одна из системных dll, вызываемых при работе с инетом. Это объясняет, например, то что вирус всегда проявлялся когда была запущена хотя бы одна программа, лезущая в интернет и то что он проявлялся нестабильно - то чаще то реже.
Вот процессы, от имени которых качался wmsetup (или проверялся на диске, при этом неудачная проверка наличия не приводила к немедленному скачиванию - возможно это разные зараженные dll или функции в dll):
ie - ну, тут все ясно
VisualStudio - когда отлаживал JavaScript
explorer - (у меня установлен SVN, который интегрируется в explorer)
svchost - тот из них, в котором больше всего потоков и много dll связанных с сетью.
Вот такое мое ламерское мнение. Вдруг что-то полезное есть в этом сообщении и кому-то оно поможет .
Последний раз редактировалось IgorSevas; 22.09.2008 в 17:09.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: