Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Есть вирус Trojan-GameThief.Win32.OnLineGames.tcom (заявка № 30782)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57

    Есть вирус Trojan-GameThief.Win32.OnLineGames.tcom

    Доброй ночи! Обнаружен вирус Trojan-GameThief.Win32.OnLineGames.tcom. XP запускается в безопасном режиме только, avz не может включить AVZGuard. Надеюсь на помощь!
    Последний раз редактировалось Rene-gad; 24.09.2008 в 12:04. Причина: Удалены ненужные логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Удалось запуститься в нормальном режиме. При входе в систему пытается установить какой-то драйвер нового устройства и далее пишет "HBInject32:Windows неверный образ" При этом обнаруживает вирус в файле windows/system32/system.exe Bacdor.win32.Agent.ru. так же есть вирусы Troyan-proxy.Win32.Agent.axl mshta.dll и Troyan-Downloader.Win32.Small.yhf AclLayer.dll. Попутно в системе находятся вирусы Troyan-GameThief.Win32.OnlineGames разных модификаций и Troyan-Downloader.Win32.Murlo.nn.
    Новые файлы логов

    А в это время файл hosts вырос до 200 кбайт(удалить невозможно) А помощи все нет
    Последний раз редактировалось Rene-gad; 24.09.2008 в 11:57.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Update.dll','');
     QuarantineFile('C:\WINDOWS\system32\zptldsys.dll','');
     QuarantineFile('C:\WINDOWS\system32\xolehlpjh.dll','');
     QuarantineFile('C:\WINDOWS\system32\twainyy.dll','');
     QuarantineFile('C:\WINDOWS\system32\tscfgwmijxsj.dll','');
     QuarantineFile('C:\WINDOWS\system32\System.exe','');
     QuarantineFile('C:\WINDOWS\system32\slbiopfs2.dll','');
     QuarantineFile('C:\WINDOWS\system32\nhmxejkl.dll','');
     QuarantineFile('C:\WINDOWS\system32\mstimewd.dll','');
     QuarantineFile('C:\WINDOWS\system32\mircos.dll','');
     QuarantineFile('C:\WINDOWS\system32\lweurqhx.dll','');
     QuarantineFile('C:\WINDOWS\system32\jkhxaklo.dll','');
     QuarantineFile('C:\WINDOWS\system32\inetresdxc.dll','');
     QuarantineFile('C:\WINDOWS\system32\imgutilhx2.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys','');
     QuarantineFile('C:\WINDOWS\system32\dpvvoxmh.dll','');
     QuarantineFile('C:\WINDOWS\system32\dispexcb.dll','');
     QuarantineFile('C:\WINDOWS\system32\ddwnohxp.dll','');
     QuarantineFile('C:\WINDOWS\system32\comuidsg.dll','');
     QuarantineFile('C:\WINDOWS\system32\cliconfgzx.dll','');
     QuarantineFile('C:\WINDOWS\system32\certmgrkd.dll','');
     QuarantineFile('C:\WINDOWS\system32\bootvidgj.dll','');
     QuarantineFile('C:\WINDOWS\system32\avicapwm.dll','');
     QuarantineFile('C:\WINDOWS\system32\adsntzt.dll','');
     DeleteService('HBKernel32');
     DeleteFile('C:\WINDOWS\Update.dll');
     DeleteFile('C:\WINDOWS\system32\zptldsys.dll');
     DeleteFile('C:\WINDOWS\system32\xolehlpjh.dll');
     DeleteFile('C:\WINDOWS\system32\twainyy.dll');
     DeleteFile('C:\WINDOWS\system32\tscfgwmijxsj.dll');
     DeleteFile('C:\WINDOWS\system32\System.exe');
     DeleteFile('C:\WINDOWS\system32\slbiopfs2.dll');
     DeleteFile('C:\WINDOWS\system32\nhmxejkl.dll');
     DeleteFile('C:\WINDOWS\system32\mstimewd.dll');
     DeleteFile('C:\WINDOWS\system32\mircos.dll');
     DeleteFile('C:\WINDOWS\system32\lweurqhx.dll');
     DeleteFile('C:\WINDOWS\system32\jkhxaklo.dll');
     DeleteFile('C:\WINDOWS\system32\inetresdxc.dll');
     DeleteFile('C:\WINDOWS\system32\imgutilhx2.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys');
     DeleteFile('C:\WINDOWS\system32\dpvvoxmh.dll');
     DeleteFile('C:\WINDOWS\system32\dispexcb.dll');
     DeleteFile('C:\WINDOWS\system32\ddwnohxp.dll');
     DeleteFile('C:\WINDOWS\system32\comuidsg.dll');
     DeleteFile('C:\WINDOWS\system32\cliconfgzx.dll');
     DeleteFile('C:\WINDOWS\system32\certmgrkd.dll');
     DeleteFile('C:\WINDOWS\system32\bootvidgj.dll');
     DeleteFile('C:\WINDOWS\system32\avicapwm.dll');
     DeleteFile('C:\WINDOWS\system32\adsntzt.dll');
     DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('HBKernel32 ');
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Добрый день Rene-gad! Все сделал как Вы написали. При перегрузке опять выдается ошибка HBInject32:Windows . Окно не убирается. В списке файлов карантина пусто.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните лечение от файлового вируса: http://virusinfo.info/showthread.php?t=15927
    Потом повторите логи.

  7. #6
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Вручную закачал файлы в карантин. Отправил!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Eugenijo Посмотреть сообщение
    Вручную закачал файлы в карантин. Отправил!
    Вы что - уже пролечились CureIt ом?

  9. #8
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Нет , еще не лечился. В прошлом сообщении указал что список карантина пуст, а при ручной проверке обнаружил файлы указанные в скрипте. Их я и выслал.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Eugenijo Посмотреть сообщение
    при ручной проверке обнаружил файлы указанные в скрипте. Их я и выслал.
    Ок, спасибо

  11. #10
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    К сожалению запустить антивирусник CureIt (записан на CD) не могу. Сразу выдает синий экран смерти как в безопасном режиме , так и в нормальном. PAGE_FAULT_IN_NONPAGED_AREA STOP:0x00000050 (0x8de0ffc3, 0x00000001, 0x80581c8e, 0x00000000)

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Перемонтируйте диск как слэйв в другой комп. Без лечения файлового вируса поможет только формат ц:\

  13. #12
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Перемонтируйте диск как слэйв в другой комп. Без лечения файлового вируса поможет только формат ц:\
    К сожалению это ноутбук. Сейчас попытаюсь через ERD 2005 запуститься, может получится

    Проверка запустилась. Файл system.exe вирус Troyan.PWS.Gamania.13517 удален! Идет процесс дальнейшего удаления других вирусов. О результатах сообщу после проверки и вышлю логи.
    Последний раз редактировалось Eugenijo; 24.09.2008 в 14:01.

  14. #13
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    CureIt отработал и поудалял все вирусы... вроде бы осталось подправить реестр , что бы не выскакивало предупреждение об установке нового устройства и отсутствии файла C:windows\update.dll . И неработает почему то обновление с Майкрософта ... Последние логи...
    Последний раз редактировалось Eugenijo; 24.09.2008 в 18:51.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
    O4 - HKLM\..\Run: [HBService32] System.exe
    O21 - SSODL: tscfgwmijxsj.dll - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} - C:\WINDOWS\system32\tscfgwmijxsj.dll (file missing)
    O21 - SSODL: xolehlpjh.dll - {F0930A2F-D971-4828-8209-B7DFD266ED44} - C:\WINDOWS\system32\xolehlpjh.dll (file missing)
    O21 - SSODL: fdarvkpu.dll - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} - C:\WINDOWS\system32\ddwnohxp.dll (file missing)
    O21 - SSODL: ddwnohxp.dll - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} - C:\WINDOWS\system32\ddwnohxp.dll (file missing)
    O21 - SSODL: comuidsg.dll - {898E02AB-9372-4a2c-9C4A-FFE1AF61097F} - C:\WINDOWS\system32\comuidsg.dll (file missing)
    O21 - SSODL: certmgrkd.dll - {9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5} - C:\WINDOWS\system32\certmgrkd.dll (file missing)
    O21 - SSODL: inetresdxc.dll - {BB4E3499-0132-4d3f-849A-2BE1B26D84E1} - C:\WINDOWS\system32\inetresdxc.dll (file missing)
    O21 - SSODL: imgutilhx2.dll - {DA56B183-A731-402b-9235-2CB8803E212D} - C:\WINDOWS\system32\imgutilhx2.dll (file missing)
    O21 - SSODL: dispexcb.dll - {76D44356-B494-443a-BEDC-AA68DE4255E6} - C:\WINDOWS\system32\dispexcb.dll (file missing)
    O21 - SSODL: slbiopfs2.dll - {EB9660D8-E1CD-4ff0-B4A9-00CD907F928A} - C:\WINDOWS\system32\slbiopfs2.dll (file missing)
    O21 - SSODL: mstimewd.dll - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} - C:\WINDOWS\system32\mstimewd.dll (file missing)
    O21 - SSODL: dpvvoxmh.dll - {2876D76C-CAAA-4313-AF97-8D1D9A2A1087} - C:\WINDOWS\system32\dpvvoxmh.dll (file missing)
    O21 - SSODL: adsntzt.dll - {E0F3526A-4165-4589-80CD-50B6FBAC3BDA} - C:\WINDOWS\system32\adsntzt.dll (file missing)
    O21 - SSODL: avicapwm.dll - {6B9FEAD7-4319-4312-AB05-D8C9CD255BFE} - C:\WINDOWS\system32\avicapwm.dll (file missing)
    O21 - SSODL: lweurqhx.dll - {71A78CD4-E470-4a18-8457-E0E0283DD507} - C:\WINDOWS\system32\lweurqhx.dll (file missing)
    O21 - SSODL: cliconfgzx.dll - {7A6DF30E-D0F2-446f-B4F0-BF4232D60E07} - C:\WINDOWS\system32\cliconfgzx.dll (file missing)
    O21 - SSODL: bootvidgj.dll - {D3112B69-A745-4805-874E-ABD480EA1299} - C:\WINDOWS\system32\bootvidgj.dll (file missing)
    O21 - SSODL: twainyy.dll - {434FA69C-5F0A-42e1-82B8-10AF2C8E53C6} - C:\WINDOWS\system32\twainyy.dll (file missing)
    - Сделайте повторные логи по правилам.
    - Прикрепите логи к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    ни одной из указанных Вами строчек в HijackThis нет Наверное потому что первоначально запустил Ваш первый вариант... Делаю логи.

  17. #16
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Новые логи после выполнения первоначального скрипта. Ошибка об отсутствии файла update не возникает. Установка драйверов продолжает высвечиваться, но с ней я уже разобрался- для каких то устройств действительно нет драйверов... Обновление не работает, так как не запускается служба автоматического обновления .

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}');
     DeleteFile('mircos.dll');
     DeleteFile('C:\WINDOWS\system32\mircos.dll');
    BC_ImportAll;
    ExecuteSysClean; 
     setservicestart('wuauserv',2)
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  19. #18
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Добрый день! Прошу прощения что не отвечал, закончился рабочий день В вашем скрипте исправил ошибку, пропущена в 9 строке ";"
    Новые логи и карантин. Обновление Windows не работает. Установил SP3. Обновление все равно не работает. Служба обновления не запускается.
    Последний раз редактировалось Eugenijo; 25.09.2008 в 15:39.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('HBKernel32');
     setservicestart('wuauserv',2);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам.
    - Прикрепите логи к новому сообщению.

  21. #20
    Junior Member Репутация
    Регистрация
    23.09.2008
    Сообщений
    35
    Вес репутации
    57
    Новые логи... Обновление не работает

  • Уважаемый(ая) Eugenijo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 10.12.2010, 16:49
    2. Ответов: 9
      Последнее сообщение: 09.10.2010, 13:31
    3. Trojan-GameThief.Win32.OnLineGames.pqm
      От Ormella в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.01.2010, 15:14
    4. Trojan-GameThief.Win32.OnLineGames.ssx
      От Doctor.EXE в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.08.2009, 00:32
    5. Что за вирус Trojan-PSW.Win32.OnLineGames.max
      От Giza в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.12.2007, 17:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00026 seconds with 19 queries