Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Троян OnLineGames и некорректная работа системы (заявка № 76361)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38

    Thumbs down Троян OnLineGames и некорректная работа системы

    Добрый день, прошу помочь в решении следующей проблемы!

    На все диски и флешки пишется файлик ysyjq1bs.exe и autoran.inf которые НОДом 32 на здоровом компьютере определяются как win23/psw.onlinegames.oum и win23/psw.onlinegames.pbj

    Кроме того имеет место следующая некорректная работа системы:
    1)Не показываются скрытые файлы
    2)Нет иконок программ (например антивируса) в трее
    3)При запуске "мой компьютер" папка диска (только диска) открывается в новой папке (этот глюк благополучно исчез после выполнения скриптов в АВЗ)
    4)при подключении нового жесткого диска, а так же флешек винда выдает "Невозможно найти программу для установки Volume. Обратитесь к поставщику" и так каждый раз (правда насчет этого пункта, думаю с вирусами он не связан)

    Сделал проверку Курьетом - он нашел herss.exe - Trojan.PSW.Wsgame.12661 и все те же ysyjq1bs.exe - Trojan.PSW.Wsgame.12661

    Логи сделал. Прошу помочь в решении проблемы!

    P.S.: Несколько дней назад уже сталкивался с этим onlinegames и поборол его (записи авторана на флешки и диски прекратились) Симптомы тогда были такие же. А так же с помощью АВЗ грохнул какого-то троянца-кейлоггера. Единственное - возможность видеть скрытые файлы не вернулась, пришлось ее включать через командную строку вручную. Я конечно понимаю, что это маловероятно, но нельзя ли определить как-нить откуда берется эта гадость?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('globalroot\systemroot\system32\nLj2i6G.exe','');
     QuarantineFile('C:\WINDOWS\system32\9da84ef1.exe','');
     QuarantineFile('C:\WINDOWS\system32\71e44028.exe','');
     DeleteFile('C:\WINDOWS\system32\71e44028.exe');
     DeleteFile('C:\WINDOWS\system32\9da84ef1.exe');
     DeleteFile('globalroot\systemroot\system32\nLj2i6G.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(19);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Проверьте наличие файла sfcfiles.dll в папке system32. Если не найдется, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Скрипт выполнил. Карантин загрузил:
    Файл сохранён как 100417_192244_virus_4bc9d244157a5.zip
    Размер файла 29707
    MD5 95c8895dc4eb2468b30654517523a6ad

    Файла sfcfiles.dll не было, восстановил его с дистрибутива.

    Сделал новые логи.

    Одна из проблем исчезла - больше нет ошибки "Невозможно найти программу для установки Volume. Обратитесь к поставщику." (насколько я понимаю это связанно с недостающим файлом?) Но другие проблемы пока остались, кроме того добавилась еще одна: в моем компьютере диски не открываются, а появляется окно с предложением выбора программы для открытия.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\nLj2i6G.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
     DeleteFile('C:\WINDOWS\system32\nLj2i6G.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
     DeleteFile('H:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(19);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Скрипт выполнил. Карантин загрузил:
    Файл сохранён как 100417_230003_virus_4bca053312f01.zip
    Размер файла 32144
    MD5 8cfd09d97d959354bfe40e30ecf30aa2

    Новые логи сделал.

    Проблема с открытием дисков в Моем Компьютере исчезла, но остальные все еще есть. Опять появились ysyjq1bs.exe Так же заметил что слетел запрет на автозапуск с дисков\флешек

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('E:\ysyjq1bs.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\ysyjq1bs.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cvasds0.dll','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cvasds0.dll');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\herss.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
     DeleteFile('C:\ysyjq1bs.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('E:\ysyjq1bs.exe');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\ysyjq1bs.exe');
     DeleteFile('H:\ysyjq1bs.exe');
     DeleteFile('H:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Скрипт выполнил. Карантин закачал:
    Файл сохранён как 100418_101518_virus_4bcaa376538f2.zip
    Размер файла 391709
    MD5 0f7f81cca750bdfc8340d7bccd71b193

    Новые логи сделал

    Файлов авторана и ysyjq1bs.exe не видно, но по прежнему нельзя в свойствах папки поставить галочку "показывать скрытые файлы и папки" и антивирус не отображается в трее.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Сделал еще раз полную проверку Курьетом, результат прикрепляю (надеюсь это не против правил?) Собственно там ничего особенного нет (самый последний файл в логе - был еще давно записан на диск специально, хотел его передать на сайт Др.Веб, но забыл), кроме каких-то Exploit.Java. с которыми Курьет почему-то ничего не сделал.

    Затем запустил ComboFix. Компьютер 4 раза перезагружался. После окончания работы возможность видеть скрытые файлы вернулась. Правда слетели многие настройки: запрет автозапуска, настройки оповещения системы безопасности и т.д. но это я все вроде вернул.

    Собственно осталась всего одна проблема: по прежнему в трее нет значков программ: звука, антивируса и т.д. не смотря на то, что в настройках они помечены как "всегда отображать" И после этого ComboFix появилась новая напасть: нет панели языка в панели задач. При ее включении выделяется разделителем лишь место для нее, а самой иконки с выбором языка нет, что очень неудобно

  11. #10
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Небольшое дополнение: В Панели управления: языки и региональные стандарты->языки и службы текстового ввода кнопка "языковая панель" в области "настройка" не доступна. И еще перестал работать эмулятор Daemon Tools. При загрузке пишет:

    Initialization error 0.
    This program requires at least Windows 200 with SPTD 1.53 or higher.
    Kernel debugger must be deactivated.

    (правда переустановка эмулятора решила дело)
    Последний раз редактировалось KsunReh; 18.04.2010 в 18:11.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Языковую панель не старайтесь вернуть самостоятельно. Она вернется после удаления ComboFix

    Файлы
    Код:
    c:\windows\system32\dbghlp.dll . . . is infected!!
    c:\windows\System32\wuauclt.exe ... is missing !!
    замените (первый файл) или восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "DcomLaunch"="DcomLaunch, TermService"
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    По поводу пропадания иконок в трее посмотрите совет AtomNN здесь
    Последний раз редактировалось thyrex; 18.04.2010 в 19:34.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Цитата Сообщение от thyrex Посмотреть сообщение
    Файлы
    Код:
    c:\windows\system32\dbghlp.dll . . . is infected!!
    c:\windows\System32\wuauclt.exe ... is missing !!
    замените (первый файл) или восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
    Не совсем понял. wuauclt.exe я в дистрибутиве нашел и записал на комп, а вот dbghlp.dll что-то нет ни в дистрибутиве, ни у меня в системе И там и там есть только dbghelp.dll

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Упс, ошибочка вышла

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\dbghlp.dll','');
     DeleteFile('c:\windows\system32\dbghlp.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Скрипт выполнил. Карантин загрузил:

    Файл сохранён как 100418_220417_virus_4bcb49a156829.zip
    Размер файла 101978
    MD5 861703c6eecc313642d8ddb60187d3f3

    (Только мне непонятно: АВЗ делает 1 папку на целый день, т.к. все эти файлы в карантине я уже вроде отсылал?)

    И я правильно сделал, что записал wuauclt.exe на комп или мне его удалить?
    И вот это:
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    мне делать или нет?

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Да, рекомендацию по ComboFix делать

    Цитата Сообщение от KsunReh Посмотреть сообщение
    wuauclt.exe на комп или мне его удалить?
    Это нужный системный файл
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Сделал лог ComboFix

    Все необходимые значки вернулись в трей

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Скрипт AVZ выполняли?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Да, я же написал:
    Скрипт выполнил. Карантин загрузил:

    Файл сохранён как 100418_220417_virus_4bcb49a156829.zip
    Размер файла 101978
    MD5 861703c6eecc313642d8ddb60187d3f3
    Насчет
    По поводу пропадания иконок в трее посмотрите совет AtomNN здесь
    у меня все эти ветки есть и значения в них совпадают. Впрочем, как уже говорил, после второго прогона ComboFix проблема исчезла.
    Последний раз редактировалось KsunReh; 18.04.2010 в 22:02.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\dbghlp.dll
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    20.10.2007
    Сообщений
    36
    Вес репутации
    38
    Вот новый отчет

  • Уважаемый(ая) KsunReh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Некорректная работа системы,браузера.
      От karaped2010 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2012, 12:41
    2. Некорректная работа системы
      От karaped2010 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.01.2012, 19:07
    3. некорректная работа системы и браузеров
      От karaped2010 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.10.2011, 23:12
    4. некорректная работа системы
      От karaped2010 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.08.2011, 18:58
    5. Некорректная работа системы
      От Mmg91 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 07.07.2010, 14:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00339 seconds with 16 queries