Новый вирь (или модификация). Тянет с инета Murlo (wmsetup.dll и abb.gif)

На машине сидит нечто, что периодически лезет в инет и тянет Murlo.
Поставил себе Касперского, и пока исп. срок не закончился он выдавал:

- 18.09.2008 15:39:45 Файл ...\Local Settings\Temporary Internet Files\Content.IE5\EPZQ4T3U\abb[1].gif удален.

- 18.09.2008 15:04:11 Вредоносный HTTP-объект <[URL]:http:abb.633f94d3.info/abb.gif[/URL]>: обнаружено: троянская программа 'Trojan-Downloader.Win32.Murlo.nn'.

17.09.2008 19:01:34 Файл C:\DOCUME~1\ISOLOV~1\LOCALS~1\Temp\wmsetup.dll, обнаружено: троянская программа 'Trojan-Downloader.Win32.Murlo.nn'.

Сейчас AVG ругается аналогично.

Смотрел на эти файлы через FileMonitor: чаще всего их создает и использует процесс svchost. Но, покопавшись в его потоках ничего явно подозрительного не обнаружил.
Также бывает что эти файлы создает IE или просто explorer.

При сообщении
- 18.09.2008 15:04:11 Вредоносный HTTP-объект <[URL]:http:abb.633f94d3.info/abb.gif[/URL]>: обнаружено:
машина имела подключение (HTTPView) по адресу 60.191.223.76 (процесс System с PID 4)


Если пустить процесс на самотек, то скачивается огромное количество вирусов в основном на тему паролей играм.

В процессе борьбы мной были обнаружены и отправлены Касперскому новые вирусы (Trojan-Proxy.Win32.Agent.axl, Trojan-GameThief.Win32.OnLineGames.suaq), но оставшийся на машине мне не по зубам!

Помогите пожалуйста!

PS: требуемые логи прилагаются.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('explore.exe','');
QuarantineFile('C:\WINDOWS\system32\comuidsg.dll','');
DeleteFile('C:\WINDOWS\system32\comuidsg.dll');
DeleteFile('explore.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Сделал как Вы сказали и карантин выслал. Но, в карантине указанные файлы (comuidsg.dll и explore.exe) имеют все равно нулевой размер. Эти файлы я не мог найти на диске еще до процедуры, когда попытался поискать их FAR-ом.

PS: explore.exe был как раз одним из новых найденных вирусов (Trojan-GameThief.Win32.OnLineGames.suaq) найденных на моем компьютере. Теперь Касперский его
определяет и уничтожает.

Логи сделанные по правилам прикрепляю.

Не знаю важно ли:
когда чистил temp папки в соответствии с планом действий, обнаружил что C:\WINDOWS\Temp\Perflib_Perfdata_168.dat держится. Кто держит пока не разбирал.

При перезагрузке после выполнения скрипта система очень долго тормозила, когда подержал Power "снялась с ручника" перезагрузилась.

[QUOTE=IgorSevas;285785]Эти файлы я не мог найти на диске еще до процедуры, когда попытался поискать их FAR-ом.[/QUOTE]А зачем Вы их искали? Их наверно Каспер убил, я только скрипт по очистке реестра дал :)
Какие еще проблемы есть?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=IgorSevas;285785]
когда чистил temp папки в соответствии с планом действий, обнаружил что C:\WINDOWS\Temp\Perflib_Perfdata_168.dat держится. [/QUOTE]
Это нормально: [url]http://www.bleepingcomputer.com/forums/lofiversion/index.php/t54540.html[/url]

Искал я их FAR-ом - (файловый менеджер) - просто поиск файла как такового.

Каспер не мог их убить - он в отрубе - вчера срок временного использования истек.
AVG тоже их не убивал.

Наличие проблем выясняю - запустил FileMonitor и включил AVG - если больше wmsetup и abb.gif не будут качаться, то проблема решена. Но если это произойдет, то я сильно удивлюсь, потому что не понял какпроблема пофиксилась.

[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]

Проблема осталась :(. Только что svchost проверил наличие C:\WINDOWS\TEMP\wmsetup.dll на диске. Ее там нет, конечно, но это показывает что вирус остался.
Что делать? У меня никаких идей :(.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Кстати, по поводу файлов, которые не удалось прислать на карантин. Они действительно отсутствуют.

Дело в том, что я вчера остановил Каспера (вчера он еще работал), так как он блокировал скачанные вирусы и я не мог понять кто их качает и кто ими пользуется.
В ходе эксперимента я зазевался и не отрубил вовремя сеть. В результате получил букет вирусов, в том числе comuidsg.dll и explore.exe. Спохватившись, я запустил Каспера и он все вылечил. Вот и запись в логах есть:
18.09.2008 13:34:34 Файл C:\WINDOWS\system32\comuidsg.dll, обнаружено: троянская программа 'Trojan-GameThief.Win32.OnLineGames.tgwg'.
18.09.2008 13:35:27 Файл c:\windows\system32\explore.exe, обнаружено: троянская программа 'Trojan-GameThief.Win32.OnLineGames.suaq'.


Так что на сегодняшнее утро, когда я запускал avz4 файлов этих в системе действительно не было.

Выполните команду [B]sfc /scannow[/B], держите дистрибутив наготове. После проверки повторите логи.

Команду выполнил сегодня утром (на выходных доступа к рабочему компу не было). Вроде бы помогло, но буду еще наблюдать.
Минус только в том, что зверя не отловили...

Вообще интересная команда. Я через Windows update ставил кучу обновлений, в том числе SP3. Сейчас мне их ставить не предлагают. Вот и думаю я - то ли эта команда учитывала новые версии файлов, то ли все вернулось в SP2, но ставить SP3 мне уже не предложат?

Логи прикрепляю. Еще прикрепляю файл wmsetup.log который вдруг нашелся на диске. Не уверен, что он имеет отношение к проблеме (может имя случайно совпало?), но на всякий случай прикреплю.

[QUOTE=IgorSevas;287101]Минус только в том, что зверя не отловили...[/QUOTE]
То есть как?
[QUOTE]Спохватившись, я запустил Каспера и он все вылечил.[/QUOTE]
Это же Вы писали 8)
[QUOTE]то ли эта команда учитывала новые версии файлов[/QUOTE]
Команда прежде чем заменить файл проверяет его на подлинность происхождения.

В логах ничего плохого не вижу.
Почистите темы, кэши и пр. Системное восстановление пока не включайте.

[quote=Rene-gad;287119]То есть как?
[/quote]
Зверь был неизвестный науке, потому как ни один из 5-ти антиввирусов его не мог обнаружить и убить. Вышеуказанная команда, судя по всему, помогла, но для опытов образец утерян, как я понимаю, безвозвратно.
Эдакая ковровая бомбардировка :).

[quote=Rene-gad;287119]
Это же Вы писали
[/quote]
Наверное мы друг-друга недопоняли.
Я писал следующее:
1. Каспера я прогонял за день ДО того как делал логи и публиковал здесь. Каспер убил _известные_ вирусы, но тот вирус что сидел у меня и качал wmsetup так и остался. (Я имею ввиду антивирус Касперского, а не тулзу, которая запускается для сбора логов)
2. На следующий день я прогнал тулзу и опубликовал логи, Вы попросили файлы, которых на диске не было еще со вчерашнего дня и поэтому в карантин ничего не попало. Я лишь объяснил почему карантин пустой (см. пункт 1). Касперский убил те файлы за день до того - в них были известные вирусы.


[quote=Rene-gad;287119]
Команда прежде чем заменить файл проверяет его на подлинность происхождения.

В логах ничего плохого не вижу.
Почистите темы, кэши и пр. Системное восстановление пока не включайте.[/quote]

Хорошо! Спасибо большое! Вы мне очень помогли!

[size="1"][color="#666686"][B][I]Добавлено через 1 час 8 минут[/I][/B][/color][/size]

Еще впечатления от пережитого для истории:

По всей видимости вирус не сидел резидентом, по крайней мере найти какой-нибудь зараженный поток не удавалось никак. Думаю испорчена была одна из системных dll, вызываемых при работе с инетом. Это объясняет, например, то что вирус всегда проявлялся когда была запущена хотя бы одна программа, лезущая в интернет и то что он проявлялся нестабильно - то чаще то реже.
Вот процессы, от имени которых качался wmsetup (или проверялся на диске, при этом неудачная проверка наличия не приводила к немедленному скачиванию - возможно это разные зараженные dll или функции в dll):
ie - ну, тут все ясно
VisualStudio - когда отлаживал JavaScript
explorer - (у меня установлен SVN, который интегрируется в explorer)
svchost - тот из них, в котором больше всего потоков и много dll связанных с сетью.

Вот такое мое ламерское мнение. Вдруг что-то полезное есть в этом сообщении и кому-то оно поможет :).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]