-
Junior Member
- Вес репутации
- 53
Помогите разобраться с последствиями DownloadMaster-вымогателя
Здравствуйте! Ориентировочно 28.12.2009 поймал на комп описанный тут вирус, который выдает почти на весь экран баннер с заявлением о нарушении прав программы DownloadMaster и требованием отправить смс, кажется на номер 4460, за деньги разумеется. Попутно вирус заблокировал все важные программки, включая редактор реестра, антивирусы (стоял Касперский пятерка с малость устаревшими базами), выход в интернет по модему, файловые менеджеры типа WinCommander и т.п. При загрузке на комп вирус сначала просто схлопывал окошки iExplorer, а вот после перезагрузки компа вошел во все права и даже в безопасном режиме ничего сделать не давал. С помощью LiveCD от Доктора Веба за 31.12.2009 запустил комп по человечески. Однако сканер с LiveCD ничего не нашел. С помощью темы http://virusinfo.info/showthread.php?t=65164 находясь в режиме загрузки с LiveCD почистил папку Windows\system32\ от dll-файлов, с размером и датой из папки Windows\temp\ (сии файлы переименованные в ~*.dll.~l~ пересылаю в архиве quarant.zip, там же возможно подпорченные вирусом файлы такого же размера, но имеемые в чистом варианте Windows XP - mdwmdmsp.dll rdchost.dll). Попутно скопировал на HDD зараженного компа AVPTool-2010 за 25.12.2009 и CureIt от DrWeb. После таких ручных манипуляций зашел в безопасном режиме с зараженной операционки. Банер пропал, проводник Windows заработал более или менее нормально, файловые менеджеры и часть программ разблокировались, но антивирус касперского не запускался из-за отграничения прав, редактор реестра тоже, как и многие другие системные функции. Выполнил проверку CureIt и AVPTool-2010. Ничего особенного они не нашли, только авп-тул потер 2-3 вируса в папке временных файлов InternetExplorer (DocumentsAndSettings\<User=1>\LocalSettings\Tempo raryInternetFiles\). После этого повторил упражнение в режиме запуска обычного пользователя с правами администратора в зараженной операционке. Эффекты те же: банера нет, файловые менеджеры и вспомогательные проги заработали, а антивирусы, редактор реестра, системные функции windows заблокированы политикой безопасности и прочей малопонятной чайнику настройкой Windows... Попробовал сделать скан системы с помощью старенького AVZ и скачанной последней hijackthis. Логи прилагаю. Может быть что-нибудь присоветуете, как восстановить операционку в нормальное рабочее состояние. Заранее спасибо. Извиняюсь за бестолковое повествование, я в системном администрировании не силен, увы...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
что-то приложения не цепляются.. попробую к отдельным сообщениям прицепить
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('tcpsr');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\puloud.dll','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\nvoclock.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gns17.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\SaiNtBus.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiMini.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\klmc.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\krnbridg.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится. После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Выполните скрипт AVZ:
Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
По окончанию Вам откроет папку с архивом. Это - карантин.
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Сделайте новые логи и прикрепите их к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 01.01.2010 в 19:15.
-
-
Junior Member
- Вес репутации
- 53
с приложениями получился глюк - на флэшку в режиме загрузки с liveCD файлы плохо копируются, точнее часть файлов с нулевой длиной пишутся. Сейчас два последних загружу.
похоже quarant.zip мне не загрузить, он под 2 мегабайта вышел и превышает местную квоту... Попробую сейчас одного представителя зверинца перепаковать и выслать...
-
Junior Member
- Вес репутации
- 53
ок, сейчас попробую выполнить инструкцию, а пока на всякий случай три образца dll-файлов скину все таки. если что потру потом их тут...
Последний раз редактировалось pig; 01.01.2010 в 19:40.
Причина: Нет, карантинов в теме нам не надо
-
Читайте Приложение 3 в правилах.
-
-
Junior Member
- Вес репутации
- 53
виноват! Постарюсь исправиться. Пока пытаюсь выполнить инструкции по скриптам. До восстановления системы добраться не могу, так как она отключена некой групповой политикой безопасности. Предлагают обратиться к админу домена... Хотя у меня комп в общем-то одиночный. Только домашнюю сеть от Микрософта из состава Windows ставил когда-то для связи с ноутбуком и еще одним домашним компом, ныне безвременно усопшем из-за отказа материнской платы... Попробовал загрузить учетную запись Администратор, которая есть в безопасном режиме. Эффект только в том, что получилось запускать редактор реестра и штатно установленного Касперского в режиме ручного запуска файла kav.exe.
Да, еще забыл, написать, что в самом начале был экзешник в меню Пуск\Программы\Автозагрузка\. Но он благополучно был убит вручную, благодаря этому при первоначальной загрузке не было баннера, а появлялся он при попытке запуска какого-нибудь антивируса или входа в папку с антивирусом... Все больше не оффтоплю.
Добавлено через 27 минут
Уфф... Выполнил предложенные инструкции и загрузил "карантин" через ссылку в шапке этой темы. Кажется это и требовалось пунктом 3 правил. Правда, я не перепаковал архив и наверное он получился без пароля... Извиняюсь, если опять затупил. И еще, скрипты делал под обычным пользователем с правами админа. Безопасный режим не использовал.
После загрузки броузер сообщил следующее:
Результат загрузки
Файл сохранён как100101_203156_quarantine_4b3e318cc0f55.zipРазме р файла51332MD52fd9823be9a4067d14ba484af303fcf5Файл закачан, спасибо!
Последний раз редактировалось John Fisher; 01.01.2010 в 20:35.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Все таки чуть не забыл... Вот новые логи от AVZ и HiJackThis. Кстати, редактор реестра, диспетчер задач и некоторые другие системные функции разблокировались благодаря приведенным вами скриптам. Спасибо!!!
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\puloud.dll','');
DeleteFile('C:\WINDOWS\system32\puloud.dll');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\TEMP\~TM27.tmp','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gns17.sys','');
DeleteService('Gns17');
DeleteFile('C:\WINDOWS\System32\Drivers\Gns17.sys');
DeleteFile('C:\WINDOWS\TEMP\~TM27.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Уфф-Уфф-уф... Вот новые логи... И карантин загрузил:
Результат загрузки
Файл сохранён как 100101_230340_quarantine-1_4b3e551cd95e1.zip
Размер файла 51346
MD5 71d6c9d0d0cc394204dc70d3a0692d59
Файл закачан, спасибо!
-
Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\puloud.dll
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Замените файл swenum.sys чистым с дистрибутива
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Что-то у меня при загрузке рабочего стола при выборе профиля все время выскакивает сообщение о восстановлении реестра из какого-то файла... Восстановление системы не починилось ни сразу по выполнению команды AVZ, ни после перезагрузки... Штатный касперский снова не запускается из-за политики ограничения применения программного обеспечения... модем не могу сменить в окошке подключения к интернету Ключ в реестре изменился, т.е. поле AppInit_DLLs оставил, а значение потер в ноль. Файл swenum.sys вроде бы заменился на чистый от другой системы.
Добавлено через 14 минут
опа, стоп... затупил уже от утомления... Забыл нужную кнопочку кликнуть в AVZ, чтобы исправить проблему с восстановлением системы... Сейчас кликнул куда надо и AVZ бодро отрапортавал, что все исправил. Отправил систему в перезагрузку, но она как и в предыдущий раз не загрузилась до выбора пользователя, повисла и огонек винчестера не мигал... Как и в предыдущий раз вырубил питание и подал снова, но в этот раз система упорно виснет с черным экраном и флажком Windows...
Добавлено через 2 минуты
так-так... Безопасный режим пока загрузился
Добавлено через 22 минуты
В безопасном режиме штатно установленный Касперский через ручной запуск kav.exe загрузился... Но мне ему базы не обновить, так как инет с другого компа юзаю...
Добавлено через 10 часов 47 минут
Может быть нужно еще раз сделать логи и карантин?
Добавлено через 44 минуты
Так, "чудеса" продолжаются, сейчас Windows загрузился до выбора пользователя и даже до рабочего стола. По поводу реестра выдала такое сообщение дословно: "Потребовалось восстановление одного из файлов данных системного реестра с помощью журнала или дополнительной копии. Восстановление прошло успешно." Окошко информационное с кнопкой ОК и названием Widows - восстановление реестра. И так теперь каждый раз, когда не в безопасный режим вхожу.
Добавлено через 2 минуты
Восстановление системы вроде бы заработало. На запуск соответствующей иконки в меню Пуск написала, что сейчас восстановление системы отключено и хочу лия его включить.
Добавлено через 10 минут
Касперский снова не запускается из-за ограничения политики запуска ПО. Также некоторые программки видимо не запускаются, типа AD-Aware и файловый менеджер Frigate2 (WinCommander работает ). В учетных записях еще появился еще запароленный пользователь "ASP.NET Machine A..." с ограниченными правами.
Добавлено через 8 минут
Звука в системе нет, из-за "плохого" драйвера directSound... В общем что-то в системе еще порушено...
Добавлено через 55 минут
Ура, по совету Windows, который она выдавала на попытку запуска kav.exe, посмотрел в Администрировании Просмотр событий и там нашел 3 ключа реестра по которым ограничивался запуск касперского и ад-авары. На свой страх и риск потер их полностью вместе. Они были в ветке HKLM\Software\Policies\Microsoft\Windows\Safer\Pat hs\
Теперь веточка пустая совсем. Но Касперский загрузился в систрей при входе в систему на рабочий стол.
Добавлено через 16 минут
на всякий случай просканил смарт-сканом от Ad-Aware-2007 со старыми базами и тот нашел двух "гадов":
- вирус Win32.Backdoor.Agent (папка Windows\sysytem32\wsnpoem\, файлы audio.dll и video.dll, три записи в реестре)
- мэлвэйр Win32.TrojanSpy.Peed (папка и файлы те же, две записи в реестре, совпадающие с предыдущим вирусом)
Добавлено через 15 минут
Бить гадов? Али нет? Что присоветуете? Может какая закавыка и можно еще больше порушить систему.
Добавлено через 3 минуты
В разделе реестра HKU\.Default\software\windows\curent version\explorer есть еще одно поле, аналогичное обнаруженному Ad-Aware, только другие наборы цифр в названии поля и его значении. Может быть и это от вирусов?
Добавлено через 7 часов 5 минут
В общем не утерпел и поудалял оба подозрительных вируса и все что с ними в реестре связано, что нашел ad-aware. До кучи и однотипное поле в реестре удалил. Повторное сканирование нового ничего не нашло. Обновил базы штатному Касперскому, скопировав их со здорового компа. После перезагрузки запустил его на полное сканирование компьютера. Порадовало пока только то, что он сразу раскусил помещенные ранее в доморощенный карантин длл-файлы из систем32 и темп папок. В остальном я так понимаю мое дело пропащее, так как вирусы сильно подрихтовали операционку и теперь руками ее править и править, если еще знать что, где и как было... Судя по молчанию в теме, в автомате это либо невозможно, либо сейчас и без меня заморочек всем хватает Все равно всем спасибо за помощь!
Добавлено через 3 минуты
P.S. Меня еще вот только смущает, что касперский при сканировании жесткого диска стал часто писать про ошибку обработки разных файлов, в основном исполняемых и довольно часто используемых. Причем сразу и на здоровом компе, и на зараженном...
Последний раз редактировалось John Fisher; 02.01.2010 в 21:15.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
не знаю даже повезло или нет, но от безысходности попробовал загрузить Windows в режиме загрузки последней удачной конфигурации, из меню, которое вызывается по F8 в самом начале старта компьютера (сразу после зпуска BIOS). И случилось еще одно маленькое чудо: разблокировались списки выбора модемов в настройках ярлыков подключения к инету и благодаря этому смог подключиться к инету.
Но вот звуковые драйвера не восстановились и в системный трей не все программки загружаются... Да сообщение о загрузке части реестра из файла не пропало и выскочило аж поверх иконок выбора пользователя еще до загрузки на рабочий стол...
-
Лечить Windows XP SP0 - только напрасно время терять.
-
-
Junior Member
- Вес репутации
- 53
А разве у меня Windows XP Sp0? Честно говоря, я ее оставил еще от самого магазина, т.е. я ее не ставил сам, как на предыдущем компе, где был установочный диск вроде бы с Sp1. И прожила она на моем компе уже года 2-3 Посмотрел сведения об операционной системе, вроде пишет что у меня Sp2. Жалко хрюшку, настроенная была, все под рукой... А звук починил, переустановкой дровишек AC'97 с установочного диска материнской платы. Эх, если бы еще в свое время хватило ума реестрик чистый и настроенный забэкапить, может сейчас влет бы все и восстановил после лечения. Но увы, пока гром не грянет... мужик не перекрестится.
Последний раз редактировалось John Fisher; 04.01.2010 в 17:00.
-
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Сообщение от
John Fisher
Меня еще вот только смущает, что касперский при сканировании жесткого диска стал часто писать про ошибку обработки разных файлов
Kaspersky Anti-Virus 5.0 for Windows Workstations - такого антивируса давно нет.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 46
- В ходе лечения вредоносные программы в карантинах не обнаружены
-