Решена adobe flash player 10 в котором сидел "приставала"

[Cameroon]

- все началось с того, что я искал какую-то попсовую песенку. обычно (как бы редко я этим не занимался) все мои запросы гугль находит на zaycev.net, в этот раз среди первых ссылок его не было, поэтому зашел на какой-то вроде mp3mix или чего-то там еще.
- открылся редирект в фоновом окне. там было видео (порево естественно). окно flash-плеера было активно, и вывело сообщение, что мне нужно обновить flash-плеер до 10й версии. хотя я знаю, что у меня и так стоит 10ая версия. ну, думаю, ладно, давненько не обновлял, хоть какая-то польза будет от этого сайта. ага, как бы ни так! жмакнул по кнопке ОК (в стиле, кстати, flash-плеера, ничего подозрительного), DM перехватил закачку, скачал файлик на 300 с чем-то кбайт с эмблемой "f" на бардовом фоне, все как положено.
- я сначала засомневался, проверил файл Авирой и CureIt, но они сказали, что все чисто, запустил, появилось лицензионное соглашение (тут я уже отбросил сомнения), жмакнул "принимаю" и больше ничего не произошло...
- вот тут я понял, что скорее всего поймал заразу. просканировал руткит и системный диск Авирой. пусто. потом как-то и забыл про это недоразумение.
- вспомнил сегодня утром: когда посреди экрана зависло окно-вымогатель смс. диспетчер задач заблокирован и все как положено (причем даже process explorer убить зловредный процесс из-под winlogon не смог).
- в безопасном режиме, что самое удивительное, вымогатель чувствовал себя как дома. загрузился вместе с системой, заблокировал диспетчер и убиваться не хотел.
- поэтому забутился с AlkidLiveCD.

в папке C:\Users\Cameroon\AppData\Local\Temp (Win7)
было 4 (на мой взгляд) заразных файла:
- dasB842.bin
- dasB842.tsh
- dasB842.tmp
- tmp_1166410377916.html
их приложу в тему для карантина.


HiJackThis:
профиксил, ибо не знаю, что это такое и оно не нужно:

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

это не фиксил, но подозрения остаются:

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

здесь удивился (что это?):

O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O13 - Gopher Prefix:

эта служба пасет активацию какого-то адобовского продукта. не подскажете какого именно?

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

- исполняемые файлы зловреда я обезвредил, но, чую, следы остались. чем лучше почистить?

 

[Cameroon]

ссылка на тему

 

[akok]

C:\Windows\System32\mctadmin.exe

Безопасен.

c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll

Вредонос.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll',' ');
DeleteFile('c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепи к своей теме с карантином.

c:\program files\adguard\adguard.dll

Твоя банерорезка? Хорошо описано





Логи AVZ можно увидеть?

 

[akok]

dasB842.VIRUSDETECTED.tmp - Trojan-Ransom.Win32.PogBlock.hv (drweb: Trojan.Winlock.525)

 

[Cameroon]

почти весь день дома не было. за компом была сестра.

начнем разбираться:
АВЗ не запускается. даже поливарный.

этой строки (и никаких с dvmurl) в новых логах HJT нет:

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll

но файл без проблем удалился вручную.

adguard мой, рекламу режет хорошо, но проблемы уже были недавно. никак не могу подыскать ему достойную замену (admuncher пока не нашел такой, чтоб работал верно).

userlib.dll занят многими процессами, на провокации не поддается.
http://sendpic.ru

Безопасный режим не включается. замерзает на стадии загрузки драйвера CLASSPNP.SYS.

У меня есть бэкап acronis true image, который представляет собой систему с базовым набором софта и драйверов. мне проще будет восстановить системный диск с него, чем разбираться почему у меня не рабоает АВЗ, безопасный режим, куки на некоторых сайтах не принимаются и т.д. и т.п.
правда в этом бэкапе уже установлен adguard, но думаю, с ним справиться можно.

 

[akok]

AVZ запускал от имени администратора?

 

[Cameroon]

- перекачал, заработал.
- система посчитала, что ему лучше работать в режиме совместимости с WinXP SP2, но при сканировании выбрасывал ошибку секунд через 10-15.
- наученный опытом (хоть и небольшим) я-то знаю, что если уж ставить режим совместимости, то лучше с WinME. и точно, пошел-таки (хотя нагружает строго одно ядро из 4ех).

 

[Cameroon]

хотел было запустить такой скрипт, но при выполнении АВЗ вылетает:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('C:\Windows\System32\jspWin.dll');
 TerminateProcessByName('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
 TerminateProcessByName('C:\Program Files\adGuard\adguard.dll');
 QuarantineFile('c:\Windows\System32\jspWin.dll',' ');
 QuarantineFile('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll',' ');
 DeleteFile('C:\Windows\System32\jspWin.dll');
 DeleteFile('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
 DeleteFile('C:\Program Files\adGuard\adguard.dll');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\BugSplat, EventMessageFile');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\Steam Client Service, EventMessageFile');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Эти вещи не понятны:

- C:\WINDOWS\system32\psxss.exe (такое ощущение, что это что-то от системы)

- C:\Windows\Installer\{736CE9DD-F589-485B-ACFF-78C235A57066}\NewShortcut4_3205A9784A7A403BA4B9D48E6BAFB73B.html

- Порты TCP 445 LISTENING 0.0.0.0 0 [4]

- C:\Program Files\Reshade\reshade.exe.BAK (ReShade - программа для увеличения размера изображения с минимальными потерями, сам устанавливал, откуда только там взялся BAK?)


--- есть ли оффлайн справка АВЗ не в формате .hlp? Семерка отказывается открывать ссылаясь на неустановленный компонент.

 

[Cameroon]

карантин:

C:\Program Files\Reshade\reshade.exe.BAK
{736CE9DD-F589-485B-ACFF-78C235A57066}

 

[Cameroon]

- через установку/удаление программ удалил adguard
- запустил fix WinsockFix.exe. отработал с ошибкой "runtime eror 53 (или 52)"
- после перезагрузки process explorer не нашел userlib.dll в активных процессах, зато я его нашел по приведенному пути и он поддался удалению.
- папки adguard в Program Files больше нет.

- карантин с этими (больше никаких АВЗ создать не сумел):

C:\Program Files\Reshade\reshade.exe.BAK
{736CE9DD-F589-485B-ACFF-78C235A57066}

приложил.

- диспетчер задач разблокировал через значение реестра DisableTaskManager.

повторные логи:

 

[akok]

есть ли оффлайн справка АВЗ не в формате .hlp?

Только на сайте Олега. Но проблеме можно и так помочь, необходимо установить обновление KB917607.

Cameroon, с интернетом после скрипта проблем нет?

откуда только там взялся BAK?

Резервная копия файла.

Что с проблемами?

 

[Cameroon]

- с инетом проблем и до этого никаких не было.
- правда теперь рекламы много. admuncher не работает (либо не устанавливается, либо устанавливается, но запускается (висит в процессах без видимых окон или трея) и только лишь сильно грузит процессор).

- есть ли еще какая-нибудь приличная баннерорезка кроме OutPost'a и NoScript для Лисы?

- установка обновления KB917607 (600кб) заканчивается сообщением "не применимо к данной системе".

 

[akok]

Cameroon, система какая? (х64 или х86).

 

[Cameroon]

это была версия 6.0 с TopDownloads (первая ссылка гугля)
скачал 6.1 с сайта майкрософта через Windows Genuine Advantage, установилось. спасибо.