Очередная проблема с блокировкой винды.

[Steel Rain]

Всем доброго времени суток.

С Новым Годом.

 

Клиенты подхватили заразу в виде всплывающего баннера с сообщением о нарушении лицензионного соглашение Dawnload Master и требованием отправить SMS с кодом K705613100 на номер 4460 (для России) или 4171 (для Украины). Предложенные коды активации на сайтах лаборатории Касперского и доктора Веба не подошли.

При появлении баннера экран периодически мигает. Щелкает таймер, отмеряет 3 часа, по истечении этого срока баннер пропадает, но работоспособность системы не восстанавливается и после перезагрузки все начинается заново.

Пакостит эта дрянь изрядно. Само собой сожрала касперского, заблокировала диспетчер задач, скрытые файлы не отображаются ну стандартный набор в общем. Но кроме этого есть ещё ряд неприятных вещей с которыми я раньше не сталкивался. Вирус блокирует запуск всех исполняемых файлов кроме тех что в каталоге Windows находяться. С большим трудом удалось стартануть AVZ в виде pif файла. Обычная версия со съемного носителя не запускается, а при попытке скопировать на комп удаляются все файлы с расширением .avz. ComboFix не стартует, какой то ещё файлик пробовал запустить gog2 что ли... тоже не срабатывает. Все пробовал переименовывать в iexplore.exe, частично помогло только с avz. Запустился, но ни баз ни скриптов в нем нет, т.к. все *.avz потерты. В autoruns не увидел ничего подозрительного, собственно как и в processxp.

Такая же картина в безопасном режиме. Временами при попытке запустить avz или даже открыть папку содержащую его, комп перезагружается или выключается. Собственно такая картина с любым антивирусом.

Помогите люди добрые, завтра эта машинка должна работать кровь из носу... Заранее благодарен.

 

P.S. Заметил интересную фишку. Если попробовать вызвать свойства экрана, то баннер пропадает и можно "нормально" работать.

hijackthis.log

virusinfo_syscure.zip

Изменено 3 января, 2010 пользователем Steel Rain

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\lm40xxHF.sys','');
QuarantineFile('C:\WINDOWS\system32\ddmcoe.dll','');
DeleteFile('C:\WINDOWS\system32\ddmcoe.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите логи.

[snifer67]

+ к akoK

 

Пуск - Выполнить - regedit

Щелкая по плюсикам, доберитесь в ветку

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\ddmcoe.dll

[Steel Rain]

Сейчас подключил хард к другому компу, идет проверка.

Обнаружено пока около 300 зараженных объектов

03.01.2010 15:07:45 Удалено троянская программа Trojan-Downloader.Win32.Piker.baq D:\WINDOWS\system32\bxeja.dll - в основном вот это, таких dll-ок туева хуча, начали c a*.dll сейчас до d*.dll дошло и, сдается мне, так по всему алфавиту будет...

но ещё попадаются следующие:

03.01.2010 14:52:18 Удалено троянская программа Packed.Win32.Krap.w D:\System Volume Information\_restore{70806F85-BE5E-42F9-8755-E65B1BAF140C}\RP55\A0018348.exe

03.01.2010 14:52:12 Удалено троянская программа Trojan-Downloader.Win32.Piker.azg D:\System Volume Information\_restore{70806F85-BE5E-42F9-8755-E65B1BAF140C}\RP55\A0018347.dll

03.01.2010 14:40:16 Удалено троянская программа Trojan.JS.Redirector.af D:\Documents and Settings\Direktor\Local Settings\Temporary Internet Files\Content.IE5\EVOX6TSN\15509[2].js

03.01.2010 14:32:58 Удалено троянская программа Trojan-Downloader.Win32.Piker.azg D:\Documents and Settings\Direktor\Local Settings\Temp\e.dll

после проверки попробую выполнить скрипты

 

Также забыл упомянуть, что вызвать regedit, cmd, msconfig и т.п. вирус не дает.

Изменено 3 января, 2010 пользователем Steel Rain

[snifer67]

Повторите логи.

[Steel Rain]

Собственно после проверки харда на другом компе KIS 2010, жизнь наладилась По крайней мере на первый взгляд... Ну пришлось кое что в ручную пофиксить немножко, как то заблокированный диспетчер задач и прочие мелкие пакости с реестром. Благо хоть екзешники стали сразу запускаться без всяких танцев с бубнами.

 

На всякий случай выполнил скрипт предложенный akoK и так же прилагаю новые логи, может быть что то затаилось...

Всем огромное спасибо за помощь.

hijackthis.log

virusinfo_syscheck.zip

Изменено 3 января, 2010 пользователем Steel Rain

[akoK]

Найдите и проверьте на www.virustotal.com

 

C:\WINDOWS\system32\smiylg.dll

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\smiylg.dll','');
DeleteFile('C:\WINDOWS\system32\smiylg.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	O20 - AppInit_DLLs: C:\WINDOWS\system32\smiylg.dll

 

Повторите логи.

[Steel Rain]

smiylg.dll не нашел к сожалению (хотя, скорее, к счастью )

Скрипты выполнил на всякий случай, но архив получился пустой. В HijackThis пофиксил, выкладываю новые логи.

 

Сейчас поеду машинку ставить на рабочее место, там протестирую по полной что работает\не работает, отпишусь.

Спасибо.

virusinfo_syscheck.zip

hijackthis.log

Изменено 4 января, 2010 пользователем Steel Rain

[snifer67]

Чисто

 

 

Установите SP3(может потребоваться активация)+все последующие обновления

[Steel Rain]

Все нормально заработало. Ещё раз всем спасибо за помощь.