Показано с 1 по 10 из 10.

Новый вирь (или модификация). Тянет с инета Murlo (wmsetup.dll и abb.gif) (заявка № 30481)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2008
    Адрес
    Севастополь
    Сообщений
    5
    Вес репутации
    34

    Новый вирь (или модификация). Тянет с инета Murlo (wmsetup.dll и abb.gif)

    На машине сидит нечто, что периодически лезет в инет и тянет Murlo.
    Поставил себе Касперского, и пока исп. срок не закончился он выдавал:

    - 18.09.2008 15:39:45 Файл ...\Local Settings\Temporary Internet Files\Content.IE5\EPZQ4T3U\abb[1].gif удален.

    - 18.09.2008 15:04:11 Вредоносный HTTP-объект <abb.633f94d3.info/abb.gif>: обнаружено: троянская программа 'Trojan-Downloader.Win32.Murlo.nn'.

    17.09.2008 19:01:34 Файл C:\DOCUME~1\ISOLOV~1\LOCALS~1\Temp\wmsetup.dll, обнаружено: троянская программа 'Trojan-Downloader.Win32.Murlo.nn'.

    Сейчас AVG ругается аналогично.

    Смотрел на эти файлы через FileMonitor: чаще всего их создает и использует процесс svchost. Но, покопавшись в его потоках ничего явно подозрительного не обнаружил.
    Также бывает что эти файлы создает IE или просто explorer.

    При сообщении
    - 18.09.2008 15:04:11 Вредоносный HTTP-объект <abb.633f94d3.info/abb.gif>: обнаружено:
    машина имела подключение (HTTPView) по адресу 60.191.223.76 (процесс System с PID 4)


    Если пустить процесс на самотек, то скачивается огромное количество вирусов в основном на тему паролей играм.

    В процессе борьбы мной были обнаружены и отправлены Касперскому новые вирусы (Trojan-Proxy.Win32.Agent.axl, Trojan-GameThief.Win32.OnLineGames.suaq), но оставшийся на машине мне не по зубам!

    Помогите пожалуйста!

    PS: требуемые логи прилагаются.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.09.2008 в 14:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('explore.exe','');
     QuarantineFile('C:\WINDOWS\system32\comuidsg.dll','');
     DeleteFile('C:\WINDOWS\system32\comuidsg.dll');
     DeleteFile('explore.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    18.09.2008
    Адрес
    Севастополь
    Сообщений
    5
    Вес репутации
    34
    Сделал как Вы сказали и карантин выслал. Но, в карантине указанные файлы (comuidsg.dll и explore.exe) имеют все равно нулевой размер. Эти файлы я не мог найти на диске еще до процедуры, когда попытался поискать их FAR-ом.

    PS: explore.exe был как раз одним из новых найденных вирусов (Trojan-GameThief.Win32.OnLineGames.suaq) найденных на моем компьютере. Теперь Касперский его
    определяет и уничтожает.

    Логи сделанные по правилам прикрепляю.

    Не знаю важно ли:
    когда чистил temp папки в соответствии с планом действий, обнаружил что C:\WINDOWS\Temp\Perflib_Perfdata_168.dat держится. Кто держит пока не разбирал.

    При перезагрузке после выполнения скрипта система очень долго тормозила, когда подержал Power "снялась с ручника" перезагрузилась.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.09.2008 в 15:07.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от IgorSevas Посмотреть сообщение
    Эти файлы я не мог найти на диске еще до процедуры, когда попытался поискать их FAR-ом.
    А зачем Вы их искали? Их наверно Каспер убил, я только скрипт по очистке реестра дал
    Какие еще проблемы есть?

    Добавлено через 4 минуты

    Цитата Сообщение от IgorSevas Посмотреть сообщение
    когда чистил temp папки в соответствии с планом действий, обнаружил что C:\WINDOWS\Temp\Perflib_Perfdata_168.dat держится.
    Это нормально: http://www.bleepingcomputer.com/foru...hp/t54540.html
    Последний раз редактировалось Rene-gad; 19.09.2008 в 15:11. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    18.09.2008
    Адрес
    Севастополь
    Сообщений
    5
    Вес репутации
    34
    Искал я их FAR-ом - (файловый менеджер) - просто поиск файла как такового.

    Каспер не мог их убить - он в отрубе - вчера срок временного использования истек.
    AVG тоже их не убивал.

    Наличие проблем выясняю - запустил FileMonitor и включил AVG - если больше wmsetup и abb.gif не будут качаться, то проблема решена. Но если это произойдет, то я сильно удивлюсь, потому что не понял какпроблема пофиксилась.

    Добавлено через 49 минут

    Проблема осталась . Только что svchost проверил наличие C:\WINDOWS\TEMP\wmsetup.dll на диске. Ее там нет, конечно, но это показывает что вирус остался.
    Что делать? У меня никаких идей .

    Добавлено через 7 минут

    Кстати, по поводу файлов, которые не удалось прислать на карантин. Они действительно отсутствуют.

    Дело в том, что я вчера остановил Каспера (вчера он еще работал), так как он блокировал скачанные вирусы и я не мог понять кто их качает и кто ими пользуется.
    В ходе эксперимента я зазевался и не отрубил вовремя сеть. В результате получил букет вирусов, в том числе comuidsg.dll и explore.exe. Спохватившись, я запустил Каспера и он все вылечил. Вот и запись в логах есть:
    18.09.2008 13:34:34 Файл C:\WINDOWS\system32\comuidsg.dll, обнаружено: троянская программа 'Trojan-GameThief.Win32.OnLineGames.tgwg'.
    18.09.2008 13:35:27 Файл c:\windows\system32\explore.exe, обнаружено: троянская программа 'Trojan-GameThief.Win32.OnLineGames.suaq'.


    Так что на сегодняшнее утро, когда я запускал avz4 файлов этих в системе действительно не было.
    Последний раз редактировалось IgorSevas; 19.09.2008 в 16:19. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Выполните команду sfc /scannow, держите дистрибутив наготове. После проверки повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    18.09.2008
    Адрес
    Севастополь
    Сообщений
    5
    Вес репутации
    34
    Команду выполнил сегодня утром (на выходных доступа к рабочему компу не было). Вроде бы помогло, но буду еще наблюдать.
    Минус только в том, что зверя не отловили...

    Вообще интересная команда. Я через Windows update ставил кучу обновлений, в том числе SP3. Сейчас мне их ставить не предлагают. Вот и думаю я - то ли эта команда учитывала новые версии файлов, то ли все вернулось в SP2, но ставить SP3 мне уже не предложат?

    Логи прикрепляю. Еще прикрепляю файл wmsetup.log который вдруг нашелся на диске. Не уверен, что он имеет отношение к проблеме (может имя случайно совпало?), но на всякий случай прикреплю.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от IgorSevas Посмотреть сообщение
    Минус только в том, что зверя не отловили...
    То есть как?
    Спохватившись, я запустил Каспера и он все вылечил.
    Это же Вы писали
    то ли эта команда учитывала новые версии файлов
    Команда прежде чем заменить файл проверяет его на подлинность происхождения.

    В логах ничего плохого не вижу.
    Почистите темы, кэши и пр. Системное восстановление пока не включайте.

  10. #9
    Junior Member Репутация
    Регистрация
    18.09.2008
    Адрес
    Севастополь
    Сообщений
    5
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    То есть как?
    Зверь был неизвестный науке, потому как ни один из 5-ти антиввирусов его не мог обнаружить и убить. Вышеуказанная команда, судя по всему, помогла, но для опытов образец утерян, как я понимаю, безвозвратно.
    Эдакая ковровая бомбардировка .

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это же Вы писали
    Наверное мы друг-друга недопоняли.
    Я писал следующее:
    1. Каспера я прогонял за день ДО того как делал логи и публиковал здесь. Каспер убил _известные_ вирусы, но тот вирус что сидел у меня и качал wmsetup так и остался. (Я имею ввиду антивирус Касперского, а не тулзу, которая запускается для сбора логов)
    2. На следующий день я прогнал тулзу и опубликовал логи, Вы попросили файлы, которых на диске не было еще со вчерашнего дня и поэтому в карантин ничего не попало. Я лишь объяснил почему карантин пустой (см. пункт 1). Касперский убил те файлы за день до того - в них были известные вирусы.


    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Команда прежде чем заменить файл проверяет его на подлинность происхождения.

    В логах ничего плохого не вижу.
    Почистите темы, кэши и пр. Системное восстановление пока не включайте.
    Хорошо! Спасибо большое! Вы мне очень помогли!

    Добавлено через 1 час 8 минут

    Еще впечатления от пережитого для истории:

    По всей видимости вирус не сидел резидентом, по крайней мере найти какой-нибудь зараженный поток не удавалось никак. Думаю испорчена была одна из системных dll, вызываемых при работе с инетом. Это объясняет, например, то что вирус всегда проявлялся когда была запущена хотя бы одна программа, лезущая в интернет и то что он проявлялся нестабильно - то чаще то реже.
    Вот процессы, от имени которых качался wmsetup (или проверялся на диске, при этом неудачная проверка наличия не приводила к немедленному скачиванию - возможно это разные зараженные dll или функции в dll):
    ie - ну, тут все ясно
    VisualStudio - когда отлаживал JavaScript
    explorer - (у меня установлен SVN, который интегрируется в explorer)
    svchost - тот из них, в котором больше всего потоков и много dll связанных с сетью.

    Вот такое мое ламерское мнение. Вдруг что-то полезное есть в этом сообщении и кому-то оно поможет .
    Последний раз редактировалось IgorSevas; 22.09.2008 в 16:09. Причина: Добавлено

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) IgorSevas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. новый вирь - доктор веб не видит
      От vladkras в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.05.2009, 17:06
    2. WMSetup и все-все-все...
      От an2000 в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 05:45
    3. Тянет в инет..
      От Eugene_G в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:32
    4. Как убить wmsetup.dll
      От sma11 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.12.2008, 12:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01466 seconds with 17 queries