Показано с 1 по 17 из 17.

Помогите разобраться с последствиями DownloadMaster-вымогателя (заявка № 65671)

  1. #1
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53

    Exclamation Помогите разобраться с последствиями DownloadMaster-вымогателя

    Здравствуйте! Ориентировочно 28.12.2009 поймал на комп описанный тут вирус, который выдает почти на весь экран баннер с заявлением о нарушении прав программы DownloadMaster и требованием отправить смс, кажется на номер 4460, за деньги разумеется. Попутно вирус заблокировал все важные программки, включая редактор реестра, антивирусы (стоял Касперский пятерка с малость устаревшими базами), выход в интернет по модему, файловые менеджеры типа WinCommander и т.п. При загрузке на комп вирус сначала просто схлопывал окошки iExplorer, а вот после перезагрузки компа вошел во все права и даже в безопасном режиме ничего сделать не давал. С помощью LiveCD от Доктора Веба за 31.12.2009 запустил комп по человечески. Однако сканер с LiveCD ничего не нашел. С помощью темы http://virusinfo.info/showthread.php?t=65164 находясь в режиме загрузки с LiveCD почистил папку Windows\system32\ от dll-файлов, с размером и датой из папки Windows\temp\ (сии файлы переименованные в ~*.dll.~l~ пересылаю в архиве quarant.zip, там же возможно подпорченные вирусом файлы такого же размера, но имеемые в чистом варианте Windows XP - mdwmdmsp.dll rdchost.dll). Попутно скопировал на HDD зараженного компа AVPTool-2010 за 25.12.2009 и CureIt от DrWeb. После таких ручных манипуляций зашел в безопасном режиме с зараженной операционки. Банер пропал, проводник Windows заработал более или менее нормально, файловые менеджеры и часть программ разблокировались, но антивирус касперского не запускался из-за отграничения прав, редактор реестра тоже, как и многие другие системные функции. Выполнил проверку CureIt и AVPTool-2010. Ничего особенного они не нашли, только авп-тул потер 2-3 вируса в папке временных файлов InternetExplorer (DocumentsAndSettings\<User=1>\LocalSettings\Tempo raryInternetFiles\). После этого повторил упражнение в режиме запуска обычного пользователя с правами администратора в зараженной операционке. Эффекты те же: банера нет, файловые менеджеры и вспомогательные проги заработали, а антивирусы, редактор реестра, системные функции windows заблокированы политикой безопасности и прочей малопонятной чайнику настройкой Windows... Попробовал сделать скан системы с помощью старенького AVZ и скачанной последней hijackthis. Логи прилагаю. Может быть что-нибудь присоветуете, как восстановить операционку в нормальное рабочее состояние. Заранее спасибо. Извиняюсь за бестолковое повествование, я в системном администрировании не силен, увы...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    что-то приложения не цепляются.. попробую к отдельным сообщениям прицепить

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Системное восстановление!!! Это ВАЖНО!
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('tcpsr');
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\WINDOWS\system32\puloud.dll','');
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\nvoclock.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gns17.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\SaiNtBus.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiMini.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\klmc.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\krnbridg.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('tcpsr');
     ExecuteRepair(11); {разблокировка диспетчера задач}
     ExecuteRepair(17); {разблокировка редактора реестра}
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится. После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Выполните скрипт AVZ:
    Код:
    var
      qfolder: string;
      qname: string;
    begin
      qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
      qfolder := ExtractFilePath(qname);
      if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
      CreateQurantineArchive(qname);
      ExecuteFile('explorer.exe', qfolder, 1, 0, false);
    end.
    По окончанию Вам откроет папку с архивом. Это - карантин.
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Сделайте новые логи и прикрепите их к новому сообщению в этой ветке.

  5. #4
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    с приложениями получился глюк - на флэшку в режиме загрузки с liveCD файлы плохо копируются, точнее часть файлов с нулевой длиной пишутся. Сейчас два последних загружу.

    похоже quarant.zip мне не загрузить, он под 2 мегабайта вышел и превышает местную квоту... Попробую сейчас одного представителя зверинца перепаковать и выслать...

  6. #5
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    ок, сейчас попробую выполнить инструкцию, а пока на всякий случай три образца dll-файлов скину все таки. если что потру потом их тут...
    Последний раз редактировалось pig; 01.01.2010 в 19:40. Причина: Нет, карантинов в теме нам не надо

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Читайте Приложение 3 в правилах.

  8. #7
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    виноват! Постарюсь исправиться. Пока пытаюсь выполнить инструкции по скриптам. До восстановления системы добраться не могу, так как она отключена некой групповой политикой безопасности. Предлагают обратиться к админу домена... Хотя у меня комп в общем-то одиночный. Только домашнюю сеть от Микрософта из состава Windows ставил когда-то для связи с ноутбуком и еще одним домашним компом, ныне безвременно усопшем из-за отказа материнской платы... Попробовал загрузить учетную запись Администратор, которая есть в безопасном режиме. Эффект только в том, что получилось запускать редактор реестра и штатно установленного Касперского в режиме ручного запуска файла kav.exe.

    Да, еще забыл, написать, что в самом начале был экзешник в меню Пуск\Программы\Автозагрузка\. Но он благополучно был убит вручную, благодаря этому при первоначальной загрузке не было баннера, а появлялся он при попытке запуска какого-нибудь антивируса или входа в папку с антивирусом... Все больше не оффтоплю.

    Добавлено через 27 минут

    Уфф... Выполнил предложенные инструкции и загрузил "карантин" через ссылку в шапке этой темы. Кажется это и требовалось пунктом 3 правил. Правда, я не перепаковал архив и наверное он получился без пароля... Извиняюсь, если опять затупил. И еще, скрипты делал под обычным пользователем с правами админа. Безопасный режим не использовал.

    После загрузки броузер сообщил следующее:

    Результат загрузки

    Файл сохранён как100101_203156_quarantine_4b3e318cc0f55.zipРазме р файла51332MD52fd9823be9a4067d14ba484af303fcf5Файл закачан, спасибо!
    Последний раз редактировалось John Fisher; 01.01.2010 в 20:35. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Все таки чуть не забыл... Вот новые логи от AVZ и HiJackThis. Кстати, редактор реестра, диспетчер задач и некоторые другие системные функции разблокировались благодаря приведенным вами скриптам. Спасибо!!!

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\puloud.dll','');
    DeleteFile('C:\WINDOWS\system32\puloud.dll');
     DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\~TM27.tmp','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gns17.sys','');
     DeleteService('Gns17');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gns17.sys');
     DeleteFile('C:\WINDOWS\TEMP\~TM27.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Уфф-Уфф-уф... Вот новые логи... И карантин загрузил:
    Результат загрузки
    Файл сохранён как 100101_230340_quarantine-1_4b3e551cd95e1.zip
    Размер файла 51346
    MD5 71d6c9d0d0cc394204dc70d3a0692d59

    Файл закачан, спасибо!

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пуск - Выполнить - regedit

    Щелкая по плюсикам, доберитесь в ветку
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\puloud.dll

    >> Заблокированы настройки системы System Restore
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

    Замените файл swenum.sys чистым с дистрибутива
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Что-то у меня при загрузке рабочего стола при выборе профиля все время выскакивает сообщение о восстановлении реестра из какого-то файла... Восстановление системы не починилось ни сразу по выполнению команды AVZ, ни после перезагрузки... Штатный касперский снова не запускается из-за политики ограничения применения программного обеспечения... модем не могу сменить в окошке подключения к интернету Ключ в реестре изменился, т.е. поле AppInit_DLLs оставил, а значение потер в ноль. Файл swenum.sys вроде бы заменился на чистый от другой системы.

    Добавлено через 14 минут

    опа, стоп... затупил уже от утомления... Забыл нужную кнопочку кликнуть в AVZ, чтобы исправить проблему с восстановлением системы... Сейчас кликнул куда надо и AVZ бодро отрапортавал, что все исправил. Отправил систему в перезагрузку, но она как и в предыдущий раз не загрузилась до выбора пользователя, повисла и огонек винчестера не мигал... Как и в предыдущий раз вырубил питание и подал снова, но в этот раз система упорно виснет с черным экраном и флажком Windows...

    Добавлено через 2 минуты

    так-так... Безопасный режим пока загрузился

    Добавлено через 22 минуты

    В безопасном режиме штатно установленный Касперский через ручной запуск kav.exe загрузился... Но мне ему базы не обновить, так как инет с другого компа юзаю...

    Добавлено через 10 часов 47 минут

    Может быть нужно еще раз сделать логи и карантин?

    Добавлено через 44 минуты

    Так, "чудеса" продолжаются, сейчас Windows загрузился до выбора пользователя и даже до рабочего стола. По поводу реестра выдала такое сообщение дословно: "Потребовалось восстановление одного из файлов данных системного реестра с помощью журнала или дополнительной копии. Восстановление прошло успешно." Окошко информационное с кнопкой ОК и названием Widows - восстановление реестра. И так теперь каждый раз, когда не в безопасный режим вхожу.

    Добавлено через 2 минуты

    Восстановление системы вроде бы заработало. На запуск соответствующей иконки в меню Пуск написала, что сейчас восстановление системы отключено и хочу лия его включить.

    Добавлено через 10 минут

    Касперский снова не запускается из-за ограничения политики запуска ПО. Также некоторые программки видимо не запускаются, типа AD-Aware и файловый менеджер Frigate2 (WinCommander работает ). В учетных записях еще появился еще запароленный пользователь "ASP.NET Machine A..." с ограниченными правами.

    Добавлено через 8 минут

    Звука в системе нет, из-за "плохого" драйвера directSound... В общем что-то в системе еще порушено...

    Добавлено через 55 минут

    Ура, по совету Windows, который она выдавала на попытку запуска kav.exe, посмотрел в Администрировании Просмотр событий и там нашел 3 ключа реестра по которым ограничивался запуск касперского и ад-авары. На свой страх и риск потер их полностью вместе. Они были в ветке HKLM\Software\Policies\Microsoft\Windows\Safer\Pat hs\
    Теперь веточка пустая совсем. Но Касперский загрузился в систрей при входе в систему на рабочий стол.

    Добавлено через 16 минут

    на всякий случай просканил смарт-сканом от Ad-Aware-2007 со старыми базами и тот нашел двух "гадов":
    - вирус Win32.Backdoor.Agent (папка Windows\sysytem32\wsnpoem\, файлы audio.dll и video.dll, три записи в реестре)
    - мэлвэйр Win32.TrojanSpy.Peed (папка и файлы те же, две записи в реестре, совпадающие с предыдущим вирусом)

    Добавлено через 15 минут

    Бить гадов? Али нет? Что присоветуете? Может какая закавыка и можно еще больше порушить систему.

    Добавлено через 3 минуты

    В разделе реестра HKU\.Default\software\windows\curent version\explorer есть еще одно поле, аналогичное обнаруженному Ad-Aware, только другие наборы цифр в названии поля и его значении. Может быть и это от вирусов?

    Добавлено через 7 часов 5 минут

    В общем не утерпел и поудалял оба подозрительных вируса и все что с ними в реестре связано, что нашел ad-aware. До кучи и однотипное поле в реестре удалил. Повторное сканирование нового ничего не нашло. Обновил базы штатному Касперскому, скопировав их со здорового компа. После перезагрузки запустил его на полное сканирование компьютера. Порадовало пока только то, что он сразу раскусил помещенные ранее в доморощенный карантин длл-файлы из систем32 и темп папок. В остальном я так понимаю мое дело пропащее, так как вирусы сильно подрихтовали операционку и теперь руками ее править и править, если еще знать что, где и как было... Судя по молчанию в теме, в автомате это либо невозможно, либо сейчас и без меня заморочек всем хватает Все равно всем спасибо за помощь!

    Добавлено через 3 минуты

    P.S. Меня еще вот только смущает, что касперский при сканировании жесткого диска стал часто писать про ошибку обработки разных файлов, в основном исполняемых и довольно часто используемых. Причем сразу и на здоровом компе, и на зараженном...
    Последний раз редактировалось John Fisher; 02.01.2010 в 21:15. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    не знаю даже повезло или нет, но от безысходности попробовал загрузить Windows в режиме загрузки последней удачной конфигурации, из меню, которое вызывается по F8 в самом начале старта компьютера (сразу после зпуска BIOS). И случилось еще одно маленькое чудо: разблокировались списки выбора модемов в настройках ярлыков подключения к инету и благодаря этому смог подключиться к инету.

    Но вот звуковые драйвера не восстановились и в системный трей не все программки загружаются... Да сообщение о загрузке части реестра из файла не пропало и выскочило аж поверх иконок выбора пользователя еще до загрузки на рабочий стол...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Лечить Windows XP SP0 - только напрасно время терять.

  16. #15
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    А разве у меня Windows XP Sp0? Честно говоря, я ее оставил еще от самого магазина, т.е. я ее не ставил сам, как на предыдущем компе, где был установочный диск вроде бы с Sp1. И прожила она на моем компе уже года 2-3 Посмотрел сведения об операционной системе, вроде пишет что у меня Sp2. Жалко хрюшку, настроенная была, все под рукой... А звук починил, переустановкой дровишек AC'97 с установочного диска материнской платы. Эх, если бы еще в свое время хватило ума реестрик чистый и настроенный забэкапить, может сейчас влет бы все и восстановил после лечения. Но увы, пока гром не грянет... мужик не перекрестится.
    Последний раз редактировалось John Fisher; 04.01.2010 в 17:00.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.

    Цитата Сообщение от John Fisher Посмотреть сообщение
    Меня еще вот только смущает, что касперский при сканировании жесткого диска стал часто писать про ошибку обработки разных файлов
    Kaspersky Anti-Virus 5.0 for Windows Workstations - такого антивируса давно нет.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 46
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) John Fisher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 10.09.2010, 14:55
    2. Ответов: 5
      Последнее сообщение: 14.04.2010, 13:10
    3. Ответов: 4
      Последнее сообщение: 01.05.2009, 14:26
    4. не могу разобраться с последствиями lich.exe
      От BitMan63 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:04
    5. Ответов: 3
      Последнее сообщение: 03.07.2008, 15:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01404 seconds with 19 queries