Решена adobe flash player 10 в котором сидел "приставала"

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Cameroon, 5 дек 2009.

Статус темы:
Закрыта.
  1. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    - все началось с того, что я искал какую-то попсовую песенку. обычно (как бы редко я этим не занимался) все мои запросы гугль находит на zaycev.net, в этот раз среди первых ссылок его не было, поэтому зашел на какой-то вроде mp3mix или чего-то там еще.
    - открылся редирект в фоновом окне. там было видео (порево естественно). окно flash-плеера было активно, и вывело сообщение, что мне нужно обновить flash-плеер до 10й версии. хотя я знаю, что у меня и так стоит 10ая версия. ну, думаю, ладно, давненько не обновлял, хоть какая-то польза будет от этого сайта. ага, как бы ни так! жмакнул по кнопке ОК (в стиле, кстати, flash-плеера, ничего подозрительного), DM перехватил закачку, скачал файлик на 300 с чем-то кбайт с эмблемой "f" на бардовом фоне, все как положено.
    - я сначала засомневался, проверил файл Авирой и CureIt, но они сказали, что все чисто, запустил, появилось лицензионное соглашение (тут я уже отбросил сомнения), жмакнул "принимаю" и больше ничего не произошло...
    - вот тут я понял, что скорее всего поймал заразу. просканировал руткит и системный диск Авирой. пусто. потом как-то и забыл про это недоразумение.
    - вспомнил сегодня утром: когда посреди экрана зависло окно-вымогатель смс. диспетчер задач заблокирован и все как положено (причем даже process explorer убить зловредный процесс из-под winlogon не смог).
    - в безопасном режиме, что самое удивительное, вымогатель чувствовал себя как дома. загрузился вместе с системой, заблокировал диспетчер и убиваться не хотел.
    - поэтому забутился с AlkidLiveCD.

    в папке C:\Users\Cameroon\AppData\Local\Temp (Win7)
    было 4 (на мой взгляд) заразных файла:
    - dasB842.bin
    - dasB842.tsh
    - dasB842.tmp
    - tmp_1166410377916.html

    их приложу в тему для карантина.


    HiJackThis:
    профиксил, ибо не знаю, что это такое и оно не нужно:
    это не фиксил, но подозрения остаются:
    здесь удивился (что это?):
    эта служба пасет активацию какого-то адобовского продукта. не подскажете какого именно?
    Посмотреть вложение 1466

    - исполняемые файлы зловреда я обезвредил, но, чую, следы остались. чем лучше почистить?
     
    Последнее редактирование: 5 дек 2009
  2. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Безопасен.
    Вредонос.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll',' ');
    DeleteFile('c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепи к своей теме с карантином.
    Твоя банерорезка? Хорошо описано





    Логи AVZ можно увидеть?
     
    Последнее редактирование модератором: 1 май 2016
    4 пользователям это понравилось.
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    dasB842.VIRUSDETECTED.tmp - Trojan-Ransom.Win32.PogBlock.hv (drweb: Trojan.Winlock.525)
     
    2 пользователям это понравилось.
  5. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    почти весь день дома не было. за компом была сестра.

    начнем разбираться:
    АВЗ не запускается. даже поливарный.

    этой строки (и никаких с dvmurl) в новых логах HJT нет:
    но файл без проблем удалился вручную.

    adguard мой, рекламу режет хорошо, но проблемы уже были недавно. никак не могу подыскать ему достойную замену (admuncher пока не нашел такой, чтоб работал верно).

    userlib.dll занят многими процессами, на провокации не поддается.
    [​IMG]

    Безопасный режим не включается. замерзает на стадии загрузки драйвера CLASSPNP.SYS.

    У меня есть бэкап acronis true image, который представляет собой систему с базовым набором софта и драйверов. мне проще будет восстановить системный диск с него, чем разбираться почему у меня не рабоает АВЗ, безопасный режим, куки на некоторых сайтах не принимаются и т.д. и т.п.
    правда в этом бэкапе уже установлен adguard, но думаю, с ним справиться можно.
     
    Последнее редактирование: 5 дек 2009
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    AVZ запускал от имени администратора?
     
  7. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    - перекачал, заработал.
    - система посчитала, что ему лучше работать в режиме совместимости с WinXP SP2, но при сканировании выбрасывал ошибку секунд через 10-15.
    - наученный опытом (хоть и небольшим) я-то знаю, что если уж ставить режим совместимости, то лучше с WinME. и точно, пошел-таки (хотя нагружает строго одно ядро из 4ех).

    Посмотреть вложение 1489
    Посмотреть вложение 1490
    Посмотреть вложение 1491
     
  8. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    хотел было запустить такой скрипт, но при выполнении АВЗ вылетает:
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('C:\Windows\System32\jspWin.dll');
     TerminateProcessByName('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
     TerminateProcessByName('C:\Program Files\adGuard\adguard.dll');
     QuarantineFile('c:\Windows\System32\jspWin.dll',' ');
     QuarantineFile('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll',' ');
     DeleteFile('C:\Windows\System32\jspWin.dll');
     DeleteFile('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
     DeleteFile('C:\Program Files\adGuard\adguard.dll');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\BugSplat, EventMessageFile');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\Steam Client Service, EventMessageFile');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.

    Эти вещи не понятны:

    - C:\WINDOWS\system32\psxss.exe (такое ощущение, что это что-то от системы)

    - C:\Windows\Installer\{736CE9DD-F589-485B-ACFF-78C235A57066}\NewShortcut4_3205A9784A7A403BA4B9D48E6BAFB73B.html

    - Порты TCP 445 LISTENING 0.0.0.0 0 [4]

    - C:\Program Files\Reshade\reshade.exe.BAK (ReShade - программа для увеличения размера изображения с минимальными потерями, сам устанавливал, откуда только там взялся BAK?)


    --- есть ли оффлайн справка АВЗ не в формате .hlp? Семерка отказывается открывать ссылаясь на неустановленный компонент.
     
    Последнее редактирование: 6 дек 2009
  9. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
  10. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    - через установку/удаление программ удалил adguard
    - запустил fix WinsockFix.exe. отработал с ошибкой "runtime eror 53 (или 52)"
    - после перезагрузки process explorer не нашел userlib.dll в активных процессах, зато я его нашел по приведенному пути и он поддался удалению.
    - папки adguard в Program Files больше нет.

    - карантин с этими (больше никаких АВЗ создать не сумел):
    приложил.

    - диспетчер задач разблокировал через значение реестра DisableTaskManager.

    повторные логи:
    Посмотреть вложение 1495
    Посмотреть вложение 1496
    Посмотреть вложение 1497
     
    Последнее редактирование модератором: 6 дек 2009
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Только на сайте Олега. Но проблеме можно и так помочь, необходимо установить обновление KB917607.

    Cameroon, с интернетом после скрипта проблем нет?

    Резервная копия файла.

    Что с проблемами?
     
    2 пользователям это понравилось.
  12. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    - с инетом проблем и до этого никаких не было.
    - правда теперь рекламы много. admuncher не работает (либо не устанавливается, либо устанавливается, но запускается (висит в процессах без видимых окон или трея) и только лишь сильно грузит процессор).

    - есть ли еще какая-нибудь приличная баннерорезка кроме OutPost'a и NoScript для Лисы?

    - установка обновления KB917607 (600кб) заканчивается сообщением "не применимо к данной системе".
     
    Последнее редактирование: 6 дек 2009
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Cameroon, система какая? (х64 или х86).
     
  14. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    это была версия 6.0 с TopDownloads (первая ссылка гугля)
    скачал 6.1 с сайта майкрософта через Windows Genuine Advantage, установилось. спасибо.
     
    Последнее редактирование: 6 дек 2009
Статус темы:
Закрыта.

Поделиться этой страницей