Показано с 1 по 14 из 14.

Тяжёлый случай :( (заявка № 30593)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35

    Тяжёлый случай :(

    Здравствуйте!
    Нужна помощь.
    Пару недель назад TrendMicro вдруг ругнулся на вирус и система повисла.
    На следующий день инет-провайдер блоканул меня из-за вируса.
    С тех пор борюсь и не могу полностью вылечится.
    Снёс ТМ, установил Касперского 7. Пользовался всеми доверенными средствами лечения - не помагает.
    Симптомы - после загрузки системы через 3-4 минуты Касперский ругается, что обнаружен вирус Trojan-GameThief.Win32.OnLineGames.*
    В папке Temp появляются файлы rav4.tmp RavUpdate.dat wmsetup.dll
    и в папке Messenger появляется msgmr.dll, который Касперский убивает.
    Т.е. Касперский с текущими проблемами вроде справляется, но видно, что в системе живет какой-то лоадер и закачивает всякую гадость...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('OMSCAN');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи в нормальном режиме.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35
    выполнил указанное, прождал 15 минут, симптомов не появлялось.
    Но потом опять тоже самое - RavUpdate.dat - 0 байт и wmsetup.dll - 5120 байт в папке C:\WINDOWS\Temp\
    Но есть и отличия - эти файлы "не переселяются" в папку Месенджера и ,видимо, не активируются, так как Касперский не "лает" про вирусы.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Очистите временные папки,кеш браузера,выполните пункт 2 правил...

  6. #5
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35
    Выполнил пункт 2 правил - ДрВэб ничего не нашёл.

    Добавлено через 3 минуты

    А "кино" всё продолжается...
    Касперский выдал:
    "удалено: троянская программа Trojan-Downloader.Win32.Agent.yuv Файл: C:\Program Files\Messenger\msgmr.dll"
    Последний раз редактировалось Ketino; 21.09.2008 в 16:03. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35
    текущий лог
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\TEMP\wmsetup.dll
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
     QuarantineFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\wmsetup.dll','');
     QuarantineFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\RarSFX0\jccatch.dll','');
     DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
     DeleteFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\DOCUME~1\ACCC~1\LOCALS~1\Temp\RarSFX0\jccatch.dll');
     DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35
    Выполнил инструкцию.
    После скрипта и перегрузки винда обнаружила новое устройство и не смогла автоматом найти "дрова".
    Что это за устроство я определить не смог - внешне всё оборудование работает нормально, но в диспетчере - "Неизвестное устройство"

    Карантин отправил
    "Файл сохранён как 080921_094917_VIRUS_48d65eed12531.ZIP
    Размер файла 18359
    MD5 07436f0253a0db36de25695ef9f06251"
    Вложения Вложения
    Последний раз редактировалось Ketino; 21.09.2008 в 18:00.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    -Пофиксите в этом списке все, что Вам лично не известно.
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fml17.ck.ua/decms/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uch.net:3128
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D000FEA9-80E6-440E-B540-757016DE15A0}: Domain = rlan
    Цитата Сообщение от Ketino Посмотреть сообщение
    в диспетчере - "Неизвестное устройство
    А просто его удалить - слабо?
    АВЗ/Мастер поиска и устранения проблем/Системные проблемы - все найти, все устранить.

    Сервис Пак 3 поставить, возможно активация системы потребуется, допотопную Джаву обновите.

  11. #10
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35
    Пофиксил даже то, что не нужно было.
    Неизвестное устройство после удаления не объявлялось.
    А файлы всё так же лезут и Касперский их "рубает"...
    Имеется особенность - стрёмные файлы лезут только раз после перегрузки и после того как Касперский их зарубит - больше до перезагрузки - тихо.
    Может это поможе найти "гнездо" .

    Забыл упомянуть, что уже давно всю папку "Internet Explorer" перенёс с диска С от греха по дальше и юзаю ФайрФокс.
    Но это положительно не послияло на результат.
    Гады появляются через Content.IE5
    Лезут через "Temporary Internet Files" то текущего юзера, то NetworkService случайным образом.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Скачайте CCleaner, почистите темпы, кэши и т.д. - полная очистка в каждой учетке отдельно.
    FYI: Firefox откладывает темпы там же, где ИЕ

  13. #12
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    8
    Вес репутации
    35
    Тему закрываем - симптомы исчезли после выполнения команды
    sfc /scannow
    и с дистрибутивом винды.

    FYI (Rene-gad) И теперь в папке Content.IE5 ни чего не появляется, включая временные папки, не смотря на постоянное использование FireFox-a )

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Ketino Посмотреть сообщение
    И теперь в папке Content.IE5 ни чего не появляется
    Появится....

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. \\update~1.gif - Trojan-Downloader.Win32.Small.aacq (DrWEB: Trojan.MulDrop.18195)


  • Уважаемый(ая) Ketino, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00731 seconds with 16 queries