Trojan-GameThief.Win32.Tibia.gui

[Dosho]

Доброго времени суток, перед тем как создать тему, я обратился в антивирусную службу 911с такой вот проблемой: У меня антивирус Касперский интернет секьюрити 2010, запустил полную проверку компьютера он у меня вот что нашел Обнаружено: Trojan-GameThief.Win32.Tibia.gui C:\WINDOWS\system32\BBLog.dll неможет вылечить не может удалить, незнаю что делать искал описания нигде немогу найти про этот вирус. Все сделал как сказали Предписание 1: Выполнить исследование KIS (Выполнено) Предписание 2: Выполнить скрипт в KIS (Выполнено) Предписание 3: Собрать карантин в KIS (Выполнено). Написали чтобы ждал, я жду уже седьмой час пошел никто не отвечает, пока вот ждал опять включил проверку на вирусы, вирус как был так и остался, помоему только место сменил Невозможно удалить: Trojan-GameThief.Win32.Tibia.gui C:\System Volume Information\_restore{36B772BD-DD63-43BE-A93F-71FC769B6C01}\RP34\A0011488.dll Очень прошу Вашей помощи как мне его удалить

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 27 августа, 2010 пользователем Dosho

[snifer67]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Dosho]

Все сделал как Вы сказали: отключил антивирус, закрыл браузеры, все программы закрыты, запустил Комбофикс в окошке пошли эти зеленые палочки потом выдало окно все на английском внизу написано да, нет нажал да, выбивает окошко с надписью ошибка, система перезапускается, зависает окно синее это Привествие и нечего не происходит определенное время потом высвечивает чистый рабочий стол без ярлыков, я подождал нечгео не происходит перезапустил вот комп. при запуске на рабочий стол выбило окно : Daemon Tools Lite для данного приложения необходима как минимум виндоувс 2000 и SPTD 1.60 или выше. Отладчик ядра должен быть деактвирован. Впервые встречаю такое Одним словом даемон перестал работать

 

П.С. сегодня утром проверял снова комп на вирусы, после процедур с утилитой авз, касперский в системе вирусов не обнаружил.

[akoK]

Лог ComboFix покажите, если появился.

Изменено 27 августа, 2010 пользователем akoK

[Dosho]

к сожалению ЛОГ не появился, что нового появилось это папка на диске С: ComboFix с кучей файликов внутри

 

Можно ли узнать об этом Трояне подробней, что с себя представляет, чем опасен? А то я немогу нигде найти информации об этом виде трояна

[illayj]

к сожалению ЛОГ не появился, что нового появилось это папка на диске С: ComboFix с кучей файликов внутри

 

Можно ли узнать об этом Трояне подробней, что с себя представляет, чем опасен? А то я немогу нигде найти информации об этом виде трояна

 

Это malware - Windows файла PE EXE ворует данные по онлайновым играм

[Dosho]

Спасибо, вот бы только узнать есть ли этот троян у меня на компе, иль нет два раза выполнил полную проверку касперским он нечего не находит

[akoK]

Логи повторите поле прогона CF проверим.

[Dosho]

Хочу дополнить, этот троян у меня обнаружился после того какна диске С образовалась папка Guard в ней находится Guardmail.ru Module

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 27 августа, 2010 пользователем Dosho

[Dosho]

Извините я повторюсь, у меня все тот же вопрос

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('wyvcxg', 4);
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('0.exe','');
DeleteFile('0.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteService('wyvcxg');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив необходимо загрузить при помощи этой формы:

1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина и нажмите "Далее".

4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

 

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Dosho]

1. Выберите тип запроса "неизвестная вредоносная программа"

В заявке в лаборатрию касперского в выпадающем окне не было такого запроса: 1.Запрос на описание вредоносной программы. 2. Запрос на исследование вредоносного файла. 3. Запрос на исследование веб-ресурса. 4. Ложное срабатывание на файл. 5 ложное срабатывание на веб ресурс.

Выбрал пункт 1, набрал пароль Virus, прикрепил архив карантин, адрес почтового ящика и отправил.

mbam_log_2010_08_28__22_59_28_.txt

[akoK]

При помощи MBAM удалите:

Зараженные папки:
C:\Program Files\VVSN (Adware.WhenU) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\1\Local Settings\Temp\7zO369E.tmp\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\1\Local Settings\Temp\7zO369E.tmp\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sys.dll (Trojan.Starter) -> No action taken.

 

Как самочувствие?

[Dosho]

Извините как это при помощи MBAM удалить можно чуть подробней, и хочу дополнить у меня виндоувс нелицензионная а кракнутая WPA Kill.exe, боюсь что то удалить не то, по незнанию и винда не запустится а мне категрически нельзя сносить винду и переустанавливать

[Roman_Five]

прочесть

http://virusinfo.info/showpost.php?p=493584&postcount=2