Trojan.Patched.GM

Printable View

20.10.2010, 20:18
TonyChess

Trojan.Patched.GM

Добрый день.
Прошу мне помочь с удалением вируса Trojan.Patched.GM
Засел в файлах winlogon.exe и explorer.exe ,антивирусом находится, но не удаляется .
С уважением Антон Ч.
20.10.2010, 20:48
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {f1debf6c-54b7-40a7-9d1e-6edf730314a3} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: (no name) - {f1debf6c-54b7-40a7-9d1e-6edf730314a3} - (no file)
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\winlogon.exe');
TerminateProcessByName('c:\windows\explorer.exe');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudaxu.sys','');
DeleteService('cqudfecc');
QuarantineFile('C:\WINDOWS\System32\Drivers\cqudfecc.sys','');
DeleteService('fvvsgcol');
QuarantineFile('C:\WINDOWS\System32\Drivers\fvvsgcol.sys','');
DeleteService('gksryikl');
QuarantineFile('C:\WINDOWS\System32\Drivers\gksryikl.sys','');
DeleteService('kkoyzegm');
DeleteService('kwstftbt');
QuarantineFile('C:\WINDOWS\System32\Drivers\kkoyzegm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\kwstftbt.sys','');
DeleteService('xccyclng');
QuarantineFile('C:\WINDOWS\System32\Drivers\xccyclng.sys','');
QuarantineFile('C:\Documents and Settings\T a N\ctfmon.exe','');
DeleteFile('C:\WINDOWS\system32\system');
DeleteFile('C:\WINDOWS\system32\74.scr');
DeleteFile('C:\WINDOWS\system32\83.scr');
DeleteFile('C:\WINDOWS\system32\53.scr');
DeleteFile('C:\WINDOWS\system32\35.scr');
DeleteFile('C:\WINDOWS\system32\82.scr');
DeleteFile('C:\WINDOWS\system32\10.scr');
DeleteFile('C:\Documents and Settings\T a N\ctfmon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\xccyclng.sys');
BC_DeleteSvc('xccyclng');
DeleteFile('C:\WINDOWS\System32\Drivers\kwstftbt.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kkoyzegm.sys');
BC_DeleteSvc('kwstftbt');
BC_DeleteSvc('kkoyzegm');
DeleteFile('C:\WINDOWS\System32\Drivers\gksryikl.sys');
BC_DeleteSvc('gksryikl');
DeleteFile('C:\WINDOWS\System32\Drivers\fvvsgcol.sys');
BC_DeleteSvc('fvvsgcol');
DeleteFile('C:\WINDOWS\System32\Drivers\cqudfecc.sys');
BC_DeleteSvc('cqudfecc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Файлы winlogon.exe и explorer.exe замените чистыми с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL]

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
20.10.2010, 23:14
TonyChess

[QUOTE=Olejah;722555]Выполните скрипт в АВЗ - .....
После выполнения скрипта компьютер перезагрузится.[/QUOTE]

После выполнения скрипта компьютер не перезапускается , а AVZ выдает ошибку. Failed to set data for 'ImagePatch'
Что делать?
20.10.2010, 23:17
olejah

Выполняйте рекомендации дальше.

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

[QUOTE='TonyChess;722594']После выполнения скрипта компьютер не перезапускается[/QUOTE] Что Вы подразумеваете? Он не загружается вообще или не перезагружается?
20.10.2010, 23:25
TonyChess

Он не перезагружается автоматически.
После выполнения скрипта в АВЗ
[QUOTE=Olejah;722555] Выполните скрипт в АВЗ -

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\winlogon.exe');
TerminateProcessByName('c:\windows\explorer.exe');
QuarantineFile('c:\windows\explorer.exe','') ........;[/QUOTE]

Выскакивает ошибка Failed to set data for 'ImagePatch'
Я закрываю АВЗ и перезагружаю компьютер.

Выполняю скрипт
[QUOTE=Olejah;722555] После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. [/QUOTE]

При выполнении этого скрипта пишет "Скрипт выполнен без ошибок"
Далее следую инструкции:
1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте те файлы, которые нужно выслать.

Но никаких файлов там нет , правда в папке где находится АВЗ есть архив названием quarantine.zip весом 22 байта [COLOR="Red"](НУжно ли его высылать?)[/COLOR]
прикладываю gmer.log
21.10.2010, 00:40
TonyChess

[QUOTE=Olejah;722555]Файлы winlogon.exe и explorer.exe замените чистыми с дистрибутива.
[/QUOTE]
[QUOTE=Rene-gad;722555] Следующая возможность - замена файлов из аналогичной здоровой системы. Здесь нужно быть уверенным, что система-донор имеет тот же самый язык и тот же самый установленный сервис пак, что и больная система.
[/QUOTE]
Можно просто скопировать эти 2 файла (winlogon.exe и explorer.exe )с другого компьютера имеющего аналогичную систему, а потом вставить файлы в соответствующие папки и заменить имеющиеся файлы. Либо все более сложно чем просто [COLOR="DarkRed"]Копировать Вставить[/COLOR] ?

Можно ли заменить эти файлы при помощи установочного диска Windows ?
21.10.2010, 08:27
olejah

[QUOTE='TonyChess;722629']Можно просто скопировать эти 2 файла (winlogon.exe и explorer.exe )с другого компьютера имеющего аналогичную систему[/QUOTE] Да, можно, попробуйте.

Нужно ещё провериться так - [URL="http://support.kaspersky.ru/faq?qid=208636926"]http://support.kaspersky.ru/faq?qid=208636926[/URL], лог работы утилиты приложить сюда - [QUOTE]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]
23.10.2010, 15:13
TonyChess

Добрый день.
Удачно выполнил оба скрипта для АВЗ в безопасном режиме.

Выслан карантин.

К сожалению пока не имею возможности скопировать с донора файлы (winlogon.exe и explorer.exe )

Прилагаю логи:
02.11.2010, 10:19
TonyChess

Добрый день.
Выполнил все вышенаписанные скрипты.
Выслал карантин, логи.
Заменил файлы winlogon.exe explorer.exe донорскими.
Антивирус теперь находит в вирус в папке AVZ4 , в карантине .

Какие дальнейшие действия?
02.11.2010, 20:46
thyrex

[QUOTE='TonyChess;727180']Антивирус теперь находит в вирус в папке AVZ4 , в карантине .

Какие дальнейшие действия?[/QUOTE]Удалить папку с карантином
04.11.2010, 15:25
TonyChess

Добрый день.

В очередной раз проверил компьютер при помощи KV Removal Tool,
нашел вирус: Trojan.Win32.Patched.kl
в папке виндоус system32\dllcache\explorer.exe и winlogon.exe
KV Removal Tool предложил лечить, что я и сделал , одновременно с осуществлением лечения , другой антивирус BitDefender уведомляет , что были заблокированы множественные вирусы ,
имя вирусаTrojan.Patched.GM
расположение в папке Virus Removal Tool т.е. там где лежит KV Removal Tool.

Пожалуйста подскажите что необходимо сделать?

Кроме вышеупомянутого периодически перезаргужается и выдает ошибку браузер OPERA , а в скрытой папке \Local Settings\Temp куча (порядка 10) однообразных папок типа WER302e.dir00 , в которых лежит файл opera.exe.hdmp и весит 300 Мб .
Подскажите нужны ли эти папки и файлы и можно ли их удалить , а то они в общей сложности 3 Гб занимают на системном диске.
04.11.2010, 15:40
olejah

[QUOTE='TonyChess;728068']в папке виндоус system32\dllcache\explorer.exe и winlogon.exe[/QUOTE] Эти файлы необходимо заменить чистыми с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива.[/URL] Затем повторяем логи АВЗ + делаем лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
04.11.2010, 20:30
TonyChess

virusinfo_cure.zip весит более 1 Мб , прикрепить не удается.
04.11.2010, 21:52
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3ba2a51-bb4f-4e22-ad0e-dff956d5b672} (Trojan.Ransom) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
C:\Program Files\VVSN (Adware.WhenU) -> No action taken.
C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> No action taken.

Зараженные файлы:
E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015768.exe (Malware.Packer.Gen) -> No action taken.
E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015772.exe (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> No action taken.
C:\explorer.exe (Worm.AutoRun) -> No action taken.
C:\winlogon.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор.SUBWAY\Рабочий стол\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.[/CODE]
04.11.2010, 23:39
TonyChess

-
04.11.2010, 23:54
thyrex

[B]TonyChess[/B], извините. Не ту ссылку дал

Вот правильная

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] указанное в сообщении №14
05.11.2010, 00:49
TonyChess

Запустил MBAM повторно, на это раз нашел еще больше угроз, надеюсь что удалил то , что нужно.
05.11.2010, 00:57
thyrex

Удалите в МВАМ
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> Not selected for removal.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3ba2a51-bb4f-4e22-ad0e-dff956d5b672} (Trojan.Ransom) -> Not selected for removal.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Not selected for removal.

Зараженные папки:
C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Not selected for removal.

Зараженные файлы:
E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015768.exe (Malware.Packer.Gen) -> Not selected for removal.
E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015772.exe (Malware.Packer.Gen) -> Not selected for removal.
C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Not selected for removal.
C:\explorer.exe (Worm.AutoRun) -> Not selected for removal.
C:\winlogon.exe (Trojan.Agent) -> Not selected for removal.
C:\Documents and Settings\Администратор.SUBWAY\Рабочий стол\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Not selected for removal.[/CODE]
05.11.2010, 15:01
TonyChess

Добрый день.
Удалил. логи АВЗ еще раз надо делать?
05.11.2010, 15:50
thyrex

Файлы заменили? Проблема решена?
05.11.2010, 18:20
TonyChess

[QUOTE=Olejah;728072]
в папке виндоус system32\dllcache\explorer.exe и winlogon.exe
Эти файлы необходимо заменить чистыми с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива.[/URL] [/URL][/QUOTE]

Если речь идет об этих файлах winlogon.exe и explorer.exe то заменил .

Еще разок проверю АВП тул и МВАМ и обязательно отпишу.

Большое спасибо за оказанную помощь и уделенное время.
10.11.2010, 23:08
TonyChess

Все хорошо , большое спасибо за помощь.
11.11.2010, 23:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\explorer.exe - [B]Trojan.Win32.Patched.kl[/B] ( DrWEB: Win32.Dat.12, BitDefender: Trojan.Patched.GM, NOD32: Win32/Bamital.EL trojan, AVAST4: Win32:Bamital-AE )[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.kl[/B] ( DrWEB: Win32.Dat.12, BitDefender: Trojan.Patched.GM, NOD32: Win32/Bamital.EL trojan, AVAST4: Win32:Bamital-AE )[/LIST][/LIST]