Тяжёлый случай :(

Printable View

21.09.2008, 14:24
Ketino

Вложений: 3

Тяжёлый случай :(

Здравствуйте!
Нужна помощь.
Пару недель назад TrendMicro вдруг ругнулся на вирус и система повисла.
На следующий день инет-провайдер блоканул меня из-за вируса.
С тех пор борюсь и не могу полностью вылечится.
Снёс ТМ, установил Касперского 7. Пользовался всеми доверенными средствами лечения - не помагает.
Симптомы - после загрузки системы через 3-4 минуты Касперский ругается, что обнаружен вирус Trojan-GameThief.Win32.OnLineGames.*
В папке Temp появляются файлы rav4.tmp RavUpdate.dat wmsetup.dll
и в папке Messenger появляется msgmr.dll, который Касперский убивает.
Т.е. Касперский с текущими проблемами вроде справляется, но видно, что в системе живет какой-то лоадер и закачивает всякую гадость...
21.09.2008, 14:36
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('OMSCAN');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи в нормальном режиме.
21.09.2008, 15:13
Ketino

Вложений: 2

выполнил указанное, прождал 15 минут, симптомов не появлялось.
Но потом опять тоже самое - RavUpdate.dat - 0 байт и wmsetup.dll - 5120 байт в папке C:\WINDOWS\Temp\
Но есть и отличия - эти файлы "не переселяются" в папку Месенджера и ,видимо, не активируются, так как Касперский не "лает" про вирусы.
21.09.2008, 15:20
Гриша

Очистите временные папки,кеш браузера,выполните пункт 2 правил...
21.09.2008, 17:03
Ketino

Выполнил пункт 2 правил - ДрВэб ничего не нашёл.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

А "кино" всё продолжается...
Касперский выдал:
"удалено: троянская программа Trojan-Downloader.Win32.Agent.yuv Файл: C:\Program Files\Messenger\msgmr.dll"
21.09.2008, 17:40
Ketino

Вложений: 1

текущий лог
21.09.2008, 18:12
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\TEMP\wmsetup.dll
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
QuarantineFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\wmsetup.dll','');
QuarantineFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\RarSFX0\jccatch.dll','');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\RarSFX0\jccatch.dll');
DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
21.09.2008, 18:55
Ketino

Вложений: 2

Выполнил инструкцию.
После скрипта и перегрузки винда обнаружила новое устройство и не смогла автоматом найти "дрова".
Что это за устроство я определить не смог - внешне всё оборудование работает нормально, но в диспетчере - "Неизвестное устройство" :(

Карантин отправил
"Файл сохранён как 080921_094917_VIRUS_48d65eed12531.ZIP
Размер файла 18359
MD5 07436f0253a0db36de25695ef9f06251"
21.09.2008, 20:40
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в этом списке все, что Вам лично не известно.
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fml17.ck.ua/decms/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uch.net:3128
O17 - HKLM\System\CCS\Services\Tcpip\..\{D000FEA9-80E6-440E-B540-757016DE15A0}: Domain = rlan
[/CODE]

[QUOTE=Ketino;286721]
в диспетчере - "Неизвестное устройство[/QUOTE]А просто его удалить - слабо? ;)
АВЗ/Мастер поиска и устранения проблем/Системные проблемы - все найти, все устранить.

Сервис Пак 3 поставить, возможно активация системы потребуется, допотопную Джаву обновите.
22.09.2008, 15:08
Ketino

Пофиксил даже то, что не нужно было.
Неизвестное устройство после удаления не объявлялось.
А файлы всё так же лезут и Касперский их "рубает"...
Имеется особенность - стрёмные файлы лезут только раз после перегрузки и после того как Касперский их зарубит - больше до перезагрузки - тихо.
Может это поможе найти "гнездо" .

Забыл упомянуть, что уже давно всю папку "Internet Explorer" перенёс с диска С от греха по дальше и юзаю ФайрФокс.
Но это положительно не послияло на результат.
Гады появляются через Content.IE5 :(
Лезут через "Temporary Internet Files" то текущего юзера, то NetworkService случайным образом.
22.09.2008, 15:35
Rene-gad

Скачайте CCleaner, почистите темпы, кэши и т.д. - полная очистка в каждой учетке отдельно.
FYI: Firefox откладывает темпы там же, где ИЕ :)
24.09.2008, 17:03
Ketino

Тему закрываем - симптомы исчезли после выполнения команды
sfc /scannow
и с дистрибутивом винды.

FYI (Rene-gad) И теперь в папке Content.IE5 ни чего не появляется, включая временные папки, не смотря на постоянное использование FireFox-a :))
24.09.2008, 17:18
Rene-gad

[QUOTE=Ketino;288344] И теперь в папке Content.IE5 ни чего не появляется[/QUOTE]Появится.... 8)
22.02.2009, 08:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\update~1.gif - [B]Trojan-Downloader.Win32.Small.aacq[/B] (DrWEB: Trojan.MulDrop.18195)[/LIST][/LIST]