Есть вирус Trojan-GameThief.Win32.OnLineGames.tcom

Printable View

24.09.2008, 03:21
Eugenijo

Есть вирус Trojan-GameThief.Win32.OnLineGames.tcom

Доброй ночи! Обнаружен вирус Trojan-GameThief.Win32.OnLineGames.tcom:(. XP запускается в безопасном режиме только, avz не может включить AVZGuard. Надеюсь на помощь!
24.09.2008, 09:44
Eugenijo

Удалось запуститься в нормальном режиме. При входе в систему пытается установить какой-то драйвер нового устройства и далее пишет "HBInject32:Windows неверный образ" При этом обнаруживает вирус в файле windows/system32/system.exe Bacdor.win32.Agent.ru. так же есть вирусы Troyan-proxy.Win32.Agent.axl mshta.dll и Troyan-Downloader.Win32.Small.yhf AclLayer.dll. Попутно в системе находятся вирусы Troyan-GameThief.Win32.OnlineGames разных модификаций и Troyan-Downloader.Win32.Murlo.nn.
Новые файлы логов

А в это время файл hosts вырос до 200 кбайт(удалить невозможно) :( А помощи все нет:(
24.09.2008, 12:03
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Update.dll','');
QuarantineFile('C:\WINDOWS\system32\zptldsys.dll','');
QuarantineFile('C:\WINDOWS\system32\xolehlpjh.dll','');
QuarantineFile('C:\WINDOWS\system32\twainyy.dll','');
QuarantineFile('C:\WINDOWS\system32\tscfgwmijxsj.dll','');
QuarantineFile('C:\WINDOWS\system32\System.exe','');
QuarantineFile('C:\WINDOWS\system32\slbiopfs2.dll','');
QuarantineFile('C:\WINDOWS\system32\nhmxejkl.dll','');
QuarantineFile('C:\WINDOWS\system32\mstimewd.dll','');
QuarantineFile('C:\WINDOWS\system32\mircos.dll','');
QuarantineFile('C:\WINDOWS\system32\lweurqhx.dll','');
QuarantineFile('C:\WINDOWS\system32\jkhxaklo.dll','');
QuarantineFile('C:\WINDOWS\system32\inetresdxc.dll','');
QuarantineFile('C:\WINDOWS\system32\imgutilhx2.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys','');
QuarantineFile('C:\WINDOWS\system32\dpvvoxmh.dll','');
QuarantineFile('C:\WINDOWS\system32\dispexcb.dll','');
QuarantineFile('C:\WINDOWS\system32\ddwnohxp.dll','');
QuarantineFile('C:\WINDOWS\system32\comuidsg.dll','');
QuarantineFile('C:\WINDOWS\system32\cliconfgzx.dll','');
QuarantineFile('C:\WINDOWS\system32\certmgrkd.dll','');
QuarantineFile('C:\WINDOWS\system32\bootvidgj.dll','');
QuarantineFile('C:\WINDOWS\system32\avicapwm.dll','');
QuarantineFile('C:\WINDOWS\system32\adsntzt.dll','');
DeleteService('HBKernel32');
DeleteFile('C:\WINDOWS\Update.dll');
DeleteFile('C:\WINDOWS\system32\zptldsys.dll');
DeleteFile('C:\WINDOWS\system32\xolehlpjh.dll');
DeleteFile('C:\WINDOWS\system32\twainyy.dll');
DeleteFile('C:\WINDOWS\system32\tscfgwmijxsj.dll');
DeleteFile('C:\WINDOWS\system32\System.exe');
DeleteFile('C:\WINDOWS\system32\slbiopfs2.dll');
DeleteFile('C:\WINDOWS\system32\nhmxejkl.dll');
DeleteFile('C:\WINDOWS\system32\mstimewd.dll');
DeleteFile('C:\WINDOWS\system32\mircos.dll');
DeleteFile('C:\WINDOWS\system32\lweurqhx.dll');
DeleteFile('C:\WINDOWS\system32\jkhxaklo.dll');
DeleteFile('C:\WINDOWS\system32\inetresdxc.dll');
DeleteFile('C:\WINDOWS\system32\imgutilhx2.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys');
DeleteFile('C:\WINDOWS\system32\dpvvoxmh.dll');
DeleteFile('C:\WINDOWS\system32\dispexcb.dll');
DeleteFile('C:\WINDOWS\system32\ddwnohxp.dll');
DeleteFile('C:\WINDOWS\system32\comuidsg.dll');
DeleteFile('C:\WINDOWS\system32\cliconfgzx.dll');
DeleteFile('C:\WINDOWS\system32\certmgrkd.dll');
DeleteFile('C:\WINDOWS\system32\bootvidgj.dll');
DeleteFile('C:\WINDOWS\system32\avicapwm.dll');
DeleteFile('C:\WINDOWS\system32\adsntzt.dll');
DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('HBKernel32 ');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
24.09.2008, 12:50
Eugenijo

Добрый день Rene-gad! Все сделал как Вы написали. При перегрузке опять выдается ошибка HBInject32:Windows . Окно не убирается. В списке файлов карантина пусто.
24.09.2008, 12:54
Rene-gad

Выполните лечение от файлового вируса: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Потом повторите логи.
24.09.2008, 13:02
Eugenijo

Вручную закачал файлы в карантин. Отправил!
24.09.2008, 13:05
Rene-gad

[QUOTE=Eugenijo;288168]Вручную закачал файлы в карантин. Отправил![/QUOTE]Вы что - уже пролечились CureIt ом?
24.09.2008, 13:09
Eugenijo

Нет , еще не лечился. В прошлом сообщении указал что список карантина пуст, а при ручной проверке обнаружил файлы указанные в скрипте. Их я и выслал.
24.09.2008, 13:20
Rene-gad

[QUOTE=Eugenijo;288172]при ручной проверке обнаружил файлы указанные в скрипте. Их я и выслал.[/QUOTE]
Ок, спасибо :)
24.09.2008, 13:32
Eugenijo

К сожалению запустить антивирусник CureIt (записан на CD) не могу:(. Сразу выдает синий экран смерти как в безопасном режиме , так и в нормальном. PAGE_FAULT_IN_NONPAGED_AREA STOP:0x00000050 (0x8de0ffc3, 0x00000001, 0x80581c8e, 0x00000000)
24.09.2008, 13:40
Rene-gad

Перемонтируйте диск как слэйв в другой комп. Без лечения файлового вируса поможет только формат ц:\
24.09.2008, 13:44
Eugenijo

[quote=Rene-gad;288195]Перемонтируйте диск как слэйв в другой комп. Без лечения файлового вируса поможет только формат ц:\[/quote]
К сожалению это ноутбук:(. Сейчас попытаюсь через ERD 2005 запуститься, может получится;)

Проверка запустилась. Файл system.exe вирус Troyan.PWS.Gamania.13517 удален! Идет процесс дальнейшего удаления других вирусов. О результатах сообщу после проверки и вышлю логи.
24.09.2008, 18:34
Eugenijo

CureIt отработал и поудалял все вирусы... вроде бы ;) осталось подправить реестр , что бы не выскакивало предупреждение об установке нового устройства и отсутствии файла C:windows\update.dll . И неработает почему то обновление с Майкрософта ... Последние логи...
24.09.2008, 18:53
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O21 - SSODL: tscfgwmijxsj.dll - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} - C:\WINDOWS\system32\tscfgwmijxsj.dll (file missing)
O21 - SSODL: xolehlpjh.dll - {F0930A2F-D971-4828-8209-B7DFD266ED44} - C:\WINDOWS\system32\xolehlpjh.dll (file missing)
O21 - SSODL: fdarvkpu.dll - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} - C:\WINDOWS\system32\ddwnohxp.dll (file missing)
O21 - SSODL: ddwnohxp.dll - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} - C:\WINDOWS\system32\ddwnohxp.dll (file missing)
O21 - SSODL: comuidsg.dll - {898E02AB-9372-4a2c-9C4A-FFE1AF61097F} - C:\WINDOWS\system32\comuidsg.dll (file missing)
O21 - SSODL: certmgrkd.dll - {9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5} - C:\WINDOWS\system32\certmgrkd.dll (file missing)
O21 - SSODL: inetresdxc.dll - {BB4E3499-0132-4d3f-849A-2BE1B26D84E1} - C:\WINDOWS\system32\inetresdxc.dll (file missing)
O21 - SSODL: imgutilhx2.dll - {DA56B183-A731-402b-9235-2CB8803E212D} - C:\WINDOWS\system32\imgutilhx2.dll (file missing)
O21 - SSODL: dispexcb.dll - {76D44356-B494-443a-BEDC-AA68DE4255E6} - C:\WINDOWS\system32\dispexcb.dll (file missing)
O21 - SSODL: slbiopfs2.dll - {EB9660D8-E1CD-4ff0-B4A9-00CD907F928A} - C:\WINDOWS\system32\slbiopfs2.dll (file missing)
O21 - SSODL: mstimewd.dll - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} - C:\WINDOWS\system32\mstimewd.dll (file missing)
O21 - SSODL: dpvvoxmh.dll - {2876D76C-CAAA-4313-AF97-8D1D9A2A1087} - C:\WINDOWS\system32\dpvvoxmh.dll (file missing)
O21 - SSODL: adsntzt.dll - {E0F3526A-4165-4589-80CD-50B6FBAC3BDA} - C:\WINDOWS\system32\adsntzt.dll (file missing)
O21 - SSODL: avicapwm.dll - {6B9FEAD7-4319-4312-AB05-D8C9CD255BFE} - C:\WINDOWS\system32\avicapwm.dll (file missing)
O21 - SSODL: lweurqhx.dll - {71A78CD4-E470-4a18-8457-E0E0283DD507} - C:\WINDOWS\system32\lweurqhx.dll (file missing)
O21 - SSODL: cliconfgzx.dll - {7A6DF30E-D0F2-446f-B4F0-BF4232D60E07} - C:\WINDOWS\system32\cliconfgzx.dll (file missing)
O21 - SSODL: bootvidgj.dll - {D3112B69-A745-4805-874E-ABD480EA1299} - C:\WINDOWS\system32\bootvidgj.dll (file missing)
O21 - SSODL: twainyy.dll - {434FA69C-5F0A-42e1-82B8-10AF2C8E53C6} - C:\WINDOWS\system32\twainyy.dll (file missing)
[/CODE]

- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.
24.09.2008, 19:49
Eugenijo

:( ни одной из указанных Вами строчек в HijackThis нет :( Наверное потому что первоначально запустил Ваш первый вариант... Делаю логи.
24.09.2008, 20:15
Eugenijo

Новые логи после выполнения первоначального скрипта. Ошибка об отсутствии файла update не возникает. Установка драйверов продолжает высвечиваться, но с ней я уже разобрался- для каких то устройств действительно нет драйверов... Обновление не работает, так как не запускается служба автоматического обновления .
24.09.2008, 20:49
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}');
DeleteFile('mircos.dll');
DeleteFile('C:\WINDOWS\system32\mircos.dll');
BC_ImportAll;
ExecuteSysClean;
setservicestart('wuauserv',2)
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
25.09.2008, 12:53
Eugenijo

Добрый день! Прошу прощения что не отвечал, закончился рабочий день :) В вашем скрипте исправил ошибку, пропущена в 9 строке ";"
Новые логи и карантин. Обновление Windows не работает. Установил SP3. Обновление все равно не работает. Служба обновления не запускается.
25.09.2008, 15:44
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('HBKernel32');
setservicestart('wuauserv',2);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.
25.09.2008, 16:57
Eugenijo

Новые логи... Обновление не работает :(
25.09.2008, 19:50
Rene-gad

Скачайте: [url]http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html[/url] Обновите базы, полный скан, ничего не удалять, лог - в студию.
25.09.2008, 22:13
Eugenijo

Log Malwarebytes
25.09.2008, 23:36
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\HBmhly.dll','');
DeleteFile('C:\WINDOWS\system32\HBmhly.dll');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам - Hijack+AVZ.
- Прикрепите логи к новому сообщению.
26.09.2008, 00:13
Eugenijo

Логи...
26.09.2008, 12:00
Rene-gad

Ничего плохого не вижу.
Системное восстановление по прежнему не запускается?
Выполните проверку системного диска с исправлением ошибок - выполняется после ребута и может пару часов длиться.
Если не поможет - Пуск/Выполнить... sfc /scannow , держать дистрибутив наготове и следовать указаниям системы.
26.09.2008, 16:10
Eugenijo

Спасибо за помощь! Обновление Win XP правда не работает, надеюсь что сам разберусь!:)
22.02.2009, 08:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]90[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\hbkernel32.sys - [B]Trojan-GameThief.Win32.MultiFirst.aa[/B] (DrWEB: Trojan.PWS.Gamania.13549)[*] c:\\windows\\system32\\mircos.dll - [B]Trojan-GameThief.Win32.OnLineGames.tkjo[/B] (DrWEB: Trojan.PWS.Wsgame.7492)[*] c:\\windows\\system32\\system.exe - [B]Backdoor.Win32.Agent.ruj[/B] (DrWEB: Trojan.PWS.Gamania.13517)[*] c:\\windows\\update.dll - [B]Trojan.Win32.Qhost.kmd[/B] (DrWEB: Trojan.Hoster.237)[/LIST][/LIST]