Проблема с Onlinegames-CAZ

Printable View

20.02.2008, 22:33
Aydar

Проблема с Onlinegames-CAZ

Проверьте пожалуйста логи. При загрузке Винды аваст находил Onlinegames-CAZ.
20.02.2008, 22:34
wise-wistful

А логи то где?
20.02.2008, 22:51
akok

Onlinegames-CAZ - проиграл значит логи;)
20.02.2008, 22:56
Aydar

Вложений: 2

Вот два лога. а virus_infocure.zip не хочет загружаться, т.к. ругается что он занимает 1,09 Мб, а столько нельзя загружать:(
20.02.2008, 22:58
akok

Так это карантин его по ссылке сверху грузить надо.
20.02.2008, 23:03
Aydar

Спасибо:) Вроде закачал, только не вижу. Скажите пожалуйста, закачан?
20.02.2008, 23:05
rubin

Если отчет появился - то закачан. Нет - закачивайте по новой
20.02.2008, 23:07
Aydar

Результат загрузки с MD5, именем сохраненного файла и надписью что он закачан:)
20.02.2008, 23:17
akok

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfashtg', 4);
SetServiceStart('zxsderfbukjfyshlhdfrstdzhdfasht', 4);
StopService('zxsderfbukjfyshlhdfrstdzhdfasht');
StopService('zxsderfbukjfyshlhdfrstdzhdfashtg');
QuarantineFile('D:\oufddh.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\oufddh.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\wt\wtvh.dll','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wtwmplug.ax','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wtmulti.jar','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wthostctl.dll','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wthost.exe','');
QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtwmplug.ax','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtvh.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthostctl.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthost.exe','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\webdriver.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\npwthost.dll','');
QuarantineFile('Explorer.exe C:\WINDOWS\eksplorasi.pif','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UP55bus.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\UP55prt.sys','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys','');
QuarantineFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\Program Files\Mozilla Firefox\extensions\[email protected]\components\qfaservices.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfasht.sys');
DeleteFile('zxsderfbukjfyshlhdfrstdzhdfashtg.sys');
DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\eksplorasi.pif');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\npwthost.dll');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\webdriver.dll');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthost.exe');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthostctl.dll');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtmulti.jar');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtvh.dll');
DeleteFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtwmplug.ax');
DeleteFile('C:\WINDOWS\wt\webdriver\webdriver.dll');
DeleteFile('C:\WINDOWS\wt\webdriver\wthost.exe');
DeleteFile('C:\WINDOWS\wt\webdriver\wthostctl.dll');
DeleteFile('C:\WINDOWS\wt\webdriver\wtmulti.jar');
DeleteFile('C:\WINDOWS\wt\webdriver\wtwmplug.ax');
DeleteFile('C:\WINDOWS\wt\wtvh.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\oufddh.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\oufddh.exe');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfashtg');
DeleteService('zxsderfbukjfyshlhdfrstdzhdfasht');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18384[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.pif"
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\1\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Н-да, уважаемый, вы наверное в музее работаете, такие раритеты собрали:)

Повторите логи
21.02.2008, 00:03
Aydar

Вложений: 2

вот новые логи. Карантин тоже загрузил.
Раритеты значит авастом не находились) Он говорит что комп чистый:) Завтра еще обращусь с другим компом. Но подозрение есть что на нем троян такой же, только вот аваст при загрузке не видит. Накрайняк почистить от старых вирей не помешает)))
21.02.2008, 00:48
wise-wistful

Практически чисто
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_DeleteFile('C:\WINDOWS\system32\amvo0.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
В host файл Вы вносили такую огрумную запись?

[quote] >> Проводник - заблокирован доступ к свойствам папки
[/quote]
АВЗ файл--Мастер поиска и устранения проблем решите эту проблему.
21.02.2008, 10:37
Aydar

Вложений: 1

Извините, я вчера ступил... Я ставил на проверку только диск С, а у меня еще Д есть. Вот карантин.
P.S. В Hosts я ничего сам не прописывал:)
21.02.2008, 10:43
PavelA

Тогда выполните скрипт:
[CODE]
begin
ClearHostsFile;
end.[/CODE]
21.02.2008, 19:18
Aydar

Скрипт выполнил. Прошу посмотреть логи, высланные до этого. Там остатки от Onlinegames были.
21.02.2008, 20:46
Aydar

Вложений: 2

Только что сделал логи. Посмотрите пожалуйста. Чистый?:)
21.02.2008, 20:58
V_Bond

wtdmmpv.dll - пришлите согласно приложения 3 правил ....
21.02.2008, 21:20
Aydar

Закачал
21.02.2008, 22:05
akok

По вирустоталу файл чистый
21.02.2008, 22:07
Aydar

Спасибо:) Надеюсь терь ноутбук у меня чистый:) Сейчас проверяю второй компьютер. На нем тоже онлайнгеймс сидит:(
21.02.2008, 22:11
akok

В онлайн игры играете? Если да, то меняйте пароли.
21.02.2008, 22:12
Aydar

Спасибо за совет:)
21.02.2008, 22:48
akok

Новый комп, новая тема!
22.02.2009, 04:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]8[/B][*]Обработано файлов: [B]218[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] c:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\windows\\system32\\amvo0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rnv[/B] (DrWEB: Trojan.PWS.Wsgame.3434)[*] c:\\windows\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.OnLineGames.rol[/B] (DrWEB: Trojan.PWS.Wsgame.3434)[*] c:\\windows\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.OnLineGames.rnv[/B] (DrWEB: Trojan.PWS.Wsgame.3434)[*] d:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] d:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] e:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] e:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] f:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] f:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] g:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] g:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] h:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] h:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[*] i:\\autorun.inf - [B]Trojan-GameThief.Win32.OnLineGames.rry[/B] (DrWEB: Win32.HLLW.Autoruner.1408)[*] i:\\oufddh.exe - [B]Trojan-GameThief.Win32.OnLineGames.rmm[/B] (DrWEB: Trojan.MulDrop.6474)[/LIST][/LIST]