Решена adobe flash player 10 в котором сидел "приставала"

Статус
В этой теме нельзя размещать новые ответы.

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#1
- все началось с того, что я искал какую-то попсовую песенку. обычно (как бы редко я этим не занимался) все мои запросы гугль находит на zaycev.net, в этот раз среди первых ссылок его не было, поэтому зашел на какой-то вроде mp3mix или чего-то там еще.
- открылся редирект в фоновом окне. там было видео (порево естественно). окно flash-плеера было активно, и вывело сообщение, что мне нужно обновить flash-плеер до 10й версии. хотя я знаю, что у меня и так стоит 10ая версия. ну, думаю, ладно, давненько не обновлял, хоть какая-то польза будет от этого сайта. ага, как бы ни так! жмакнул по кнопке ОК (в стиле, кстати, flash-плеера, ничего подозрительного), DM перехватил закачку, скачал файлик на 300 с чем-то кбайт с эмблемой "f" на бардовом фоне, все как положено.
- я сначала засомневался, проверил файл Авирой и CureIt, но они сказали, что все чисто, запустил, появилось лицензионное соглашение (тут я уже отбросил сомнения), жмакнул "принимаю" и больше ничего не произошло...
- вот тут я понял, что скорее всего поймал заразу. просканировал руткит и системный диск Авирой. пусто. потом как-то и забыл про это недоразумение.
- вспомнил сегодня утром: когда посреди экрана зависло окно-вымогатель смс. диспетчер задач заблокирован и все как положено (причем даже process explorer убить зловредный процесс из-под winlogon не смог).
- в безопасном режиме, что самое удивительное, вымогатель чувствовал себя как дома. загрузился вместе с системой, заблокировал диспетчер и убиваться не хотел.
- поэтому забутился с AlkidLiveCD.

в папке C:\Users\Cameroon\AppData\Local\Temp (Win7)
было 4 (на мой взгляд) заразных файла:
- dasB842.bin
- dasB842.tsh
- dasB842.tmp
- tmp_1166410377916.html

их приложу в тему для карантина.


HiJackThis:
профиксил, ибо не знаю, что это такое и оно не нужно:
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
это не фиксил, но подозрения остаются:
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
здесь удивился (что это?):
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\program files\adguard\adguard.dll
O10 - Unknown file in Winsock LSP: c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
O13 - Gopher Prefix:
эта служба пасет активацию какого-то адобовского продукта. не подскажете какого именно?
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
Посмотреть вложение 1466

- исполняемые файлы зловреда я обезвредил, но, чую, следы остались. чем лучше почистить?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,727
Баллы
2,203
#3
Безопасен.
c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll
Вредонос.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll',' ');
DeleteFile('c:\users\cameroon\appdata\roaming\microsoft\windows\cookies\userlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепи к своей теме с карантином.
Твоя банерорезка? Хорошо описано





Логи AVZ можно увидеть?
 
Последнее редактирование модератором:

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#5
почти весь день дома не было. за компом была сестра.

начнем разбираться:
АВЗ не запускается. даже поливарный.

этой строки (и никаких с dvmurl) в новых логах HJT нет:
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
но файл без проблем удалился вручную.

adguard мой, рекламу режет хорошо, но проблемы уже были недавно. никак не могу подыскать ему достойную замену (admuncher пока не нашел такой, чтоб работал верно).

userlib.dll занят многими процессами, на провокации не поддается.
proxy.php?image=http%3A%2F%2Fs3.sendpic.ru%2Fi%2F9125%2Fi%2FUIr.jpeg&hash=00fcc6a5db21ac0b9cd29819deb4e931


Безопасный режим не включается. замерзает на стадии загрузки драйвера CLASSPNP.SYS.

У меня есть бэкап acronis true image, который представляет собой систему с базовым набором софта и драйверов. мне проще будет восстановить системный диск с него, чем разбираться почему у меня не рабоает АВЗ, безопасный режим, куки на некоторых сайтах не принимаются и т.д. и т.п.
правда в этом бэкапе уже установлен adguard, но думаю, с ним справиться можно.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,727
Баллы
2,203
#6
AVZ запускал от имени администратора?
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#7
- перекачал, заработал.
- система посчитала, что ему лучше работать в режиме совместимости с WinXP SP2, но при сканировании выбрасывал ошибку секунд через 10-15.
- наученный опытом (хоть и небольшим) я-то знаю, что если уж ставить режим совместимости, то лучше с WinME. и точно, пошел-таки (хотя нагружает строго одно ядро из 4ех).

Посмотреть вложение 1489
Посмотреть вложение 1490
Посмотреть вложение 1491
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#8
хотел было запустить такой скрипт, но при выполнении АВЗ вылетает:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('C:\Windows\System32\jspWin.dll');
 TerminateProcessByName('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
 TerminateProcessByName('C:\Program Files\adGuard\adguard.dll');
 QuarantineFile('c:\Windows\System32\jspWin.dll',' ');
 QuarantineFile('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll',' ');
 DeleteFile('C:\Windows\System32\jspWin.dll');
 DeleteFile('C:\Users\Cameroon\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
 DeleteFile('C:\Program Files\adGuard\adguard.dll');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\BugSplat, EventMessageFile');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\Steam Client Service, EventMessageFile');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Эти вещи не понятны:

- C:\WINDOWS\system32\psxss.exe (такое ощущение, что это что-то от системы)

- C:\Windows\Installer\{736CE9DD-F589-485B-ACFF-78C235A57066}\NewShortcut4_3205A9784A7A403BA4B9D48E6BAFB73B.html

- Порты TCP 445 LISTENING 0.0.0.0 0 [4]

- C:\Program Files\Reshade\reshade.exe.BAK (ReShade - программа для увеличения размера изображения с минимальными потерями, сам устанавливал, откуда только там взялся BAK?)


--- есть ли оффлайн справка АВЗ не в формате .hlp? Семерка отказывается открывать ссылаясь на неустановленный компонент.
 
Последнее редактирование:

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#10
- через установку/удаление программ удалил adguard
- запустил fix WinsockFix.exe. отработал с ошибкой "runtime eror 53 (или 52)"
- после перезагрузки process explorer не нашел userlib.dll в активных процессах, зато я его нашел по приведенному пути и он поддался удалению.
- папки adguard в Program Files больше нет.

- карантин с этими (больше никаких АВЗ создать не сумел):
C:\Program Files\Reshade\reshade.exe.BAK
{736CE9DD-F589-485B-ACFF-78C235A57066}
приложил.

- диспетчер задач разблокировал через значение реестра DisableTaskManager.

повторные логи:
Посмотреть вложение 1495
Посмотреть вложение 1496
Посмотреть вложение 1497
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,727
Баллы
2,203
#11
есть ли оффлайн справка АВЗ не в формате .hlp?
Только на сайте Олега. Но проблеме можно и так помочь, необходимо установить обновление KB917607.

Cameroon, с интернетом после скрипта проблем нет?

откуда только там взялся BAK?
Резервная копия файла.

Что с проблемами?
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#12
- с инетом проблем и до этого никаких не было.
- правда теперь рекламы много. admuncher не работает (либо не устанавливается, либо устанавливается, но запускается (висит в процессах без видимых окон или трея) и только лишь сильно грузит процессор).

- есть ли еще какая-нибудь приличная баннерорезка кроме OutPost'a и NoScript для Лисы?

- установка обновления KB917607 (600кб) заканчивается сообщением "не применимо к данной системе".
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,727
Баллы
2,203
#13
Cameroon, система какая? (х64 или х86).
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
Баллы
408
#14
это была версия 6.0 с TopDownloads (первая ссылка гугля)
скачал 6.1 с сайта майкрософта через Windows Genuine Advantage, установилось. спасибо.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу