Trojan-PSW.Win32.OnlineGames.bgl ,*.bfg, *.bjk

[CbIP]

Hi all! Вчера эвристик обнаружил ещё не известные вирусы. Отослал в ЛК, вирусы добавили в игнатуры. Однако удалить нх не получается! Как я понял, вири создают файлы:

C:\WINDOWS\System32\TempA.exe

C:\WINDOWS\System32\TempB.exe

C:\WINDOWS\System32\TempC.exe

C:\WINDOWS\System32\TempD.exe

C:\WINDOWS\System32\TempE.exe

Которые на ура ловятся KIS 7.0.0.125, удаляются, а действия откатываются. Однако при перезагрузке компьютера, через некоторое время снова появляются. Опытным путём выяснить, что инициирует их появление не удалось. Восстановелние системы у меня отключено, а папкуи System Volume Information я очистил.

Подскажите, как юороться с этой заразой и где есть первоприсина появления файлов?

 

 

sysinfo.rar hijackthis.rar virusinfo_syscure.zip virusinfo_syscheck.zip

[NickGolovko]

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.

 

После этого отправьте содержимое папки Quarantine за сегодняшнее число в архиве с паролем на newvirus at kaspersky.com и мне на nvgolovko at inbox.ru. После исследования карантина продолжим лечение. Есть подозрительные драйвера, которые я не могу снести без уверенности, что это malware.

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('LYLoadqr.exe','');
QuarantineFile('LYLoador.exe','');
QuarantineFile('LYLoadhr.exe','');
QuarantineFile('LYLoadbr.exe','');
QuarantineFile('LYLoadar.exe','');
QuarantineFile('LYLeador.exe','');
QuarantineFile('C:\WINDOWS\system32\myfpri.dll','');
QuarantineFile('\?\C:\WINDOWS\system32\drivers\vo0w.sys','');
QuarantineFile('fg5h.sys','');
QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
QuarantineFile('C:\WINDOWS\system32\system.dat','');
QuarantineFile('C:\WINDOWS\system32\fqdqt.dll','');
DeleteFile('C:\WINDOWS\system32\fqdqt.dll');
DeleteFile('C:\WINDOWS\system32\system.dat');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('LYLeador.exe');
DeleteFile('LYLoadar.exe');
DeleteFile('LYLoadbr.exe');
DeleteFile('LYLoadhr.exe');
DeleteFile('LYLoador.exe');
DeleteFile('LYLoadqr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[CbIP]

Отослал. И ещё. А к какой игре он ворует пароли? И какой драйвер подозрителен?

[NickGolovko]

Результаты сканирования:

 

C:\WINDOWS\system32\drivers\vo0w.sys

 

AntiVir 7.4.1.66 2007.08.31 TR/Rootkit.Gen

Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.Win32.Agent.bbb

Microsoft 1.2803 2007.08.31 Backdoor:WinNT/Farfli.A!sys

Rising 19.38.42.00 2007.08.31 RootKit.Win32.Agent.nge

Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Rootkit.Gen

 

C:\WINDOWS\system32\Drivers\fg5h.sys

 

AntiVir 7.4.1.66 2007.08.31 TR/Rootkit.Gen

AVG 7.5.0.484 2007.08.31 Obfustat.KYN

Ikarus T3.1.1.12 2007.08.31 Trojan-Downloader.Win32.Agent.bbb

Microsoft 1.2803 2007.08.31 Backdoor:WinNT/Farfli.B!sys

Norman 5.80.02 2007.08.31 Rootkit.gen4

Rising 19.38.42.00 2007.08.31 RootKit.Win32.Agent.ngd

Symantec 10 2007.08.31 Trojan.Farfli

Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Rootkit.Gen

 

C:\WINDOWS\system32\system.dat

 

Avast 4.7.1029.0 2007.08.30 Win32:Agent-KHT

DrWeb 4.33 2007.08.31 DLOADER.Trojan

Fortinet 3.11.0.0 2007.08.31 Heuri.E

Ikarus T3.1.1.12 2007.08.31 Virus.Win32.Agent.KHT

Kaspersky 4.0.2.24 2007.08.31 Trojan-Downloader.Win32.Agent.cqk

Norman 5.80.02 2007.08.31 W32/Malware.AKIU

Sophos 4.21.0 2007.08.31 Mal/Heuri-E

 

C:\WINDOWS\system32\fqdqt.dll

 

AntiVir 7.4.1.66 2007.08.31 TR/Spy.Gen

Avast 4.7.1029.0 2007.08.30 Win32:Agent-JZN

CAT-QuickHeal 9.00 2007.08.31 TrojanDownloader.Agent.ccg

DrWeb 4.33 2007.08.31 DLOADER.Trojan

F-Secure 6.70.13030.0 2007.08.31 Trojan-Downloader.Win32.Agent.ccg

Ikarus T3.1.1.12 2007.08.31 Virus.Win32.Agent.JZN

Kaspersky 4.0.2.24 2007.08.31 Trojan-Downloader.Win32.Agent.ccg

Microsoft 1.2803 2007.08.31 Backdoor:Win32/Farfli.B.dll

Rising 19.38.42.00 2007.08.31 Trojan.Clicker.Win32.Agent.agi

Sophos 4.21.0 2007.08.31 Mal/Behav-063

Symantec 10 2007.08.31 Trojan.Farfli

Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Spy.Gen

 

Прочие файлы в карантин не попали.

 

Выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\myfpri.dll','');
QuarantineFile('C:\WINDOWS\system32\winlib.dll','');
DeleteFile('C:\WINDOWS\system32\myfpri.dll');
DeleteFile('C:\WINDOWS\system32\winlib.dll');
DeleteFile('C:\WINDOWS\system32\drivers\vo0w.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fg5h.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После этого повторите протоколы.

[CbIP]

Скрипт выполнил. Прикрепляю портоколы и архив с карантином (в скрипте закарантированы 2 файла). Пароль: 123456

hijackthis.rar sysinfo.rar virusinfo_syscheck.zip virusinfo_syscure.zip 2007_08_31.rar

[NickGolovko]

Последняя библиотека застряла:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\winlib .dll');
BC_DeleteFile('C:\WINDOWS\system32\winlib.dll');
BC_ImportDeletedList;
BC_LogFile(GetAVZDirectory + 'bclr.log');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта прикрепите файл bclr.log из папки AVZ.

[CbIP]

Вот лог. Файл не удалился

bclr.rar

[NickGolovko]

Да, код ошибки - файл не найден. Значит, библиотека создается при старте системы. Получается, мы чего-то не видим.

 

Попробуйте

 

1) найти файл в безопасном режиме,

 

2) в случае неудачи опять же в безопасном повторить логи AVZ.

 

Также откройте (по-прежнему в безопасном) Сервис - Менеджер служб и драйверов, задайте фильтр Все - Все на вкладке Сервисы (по анализу реестра). Сохраните протокол и тоже выложите сюда.

[CbIP]

Попробывал в безопасном режмие - снова не нашёл:

DeleteFile \?\C:\WINDOWS\system32\winlib .dll - failed (0xC0000034)
DeleteFile \?\C:\WINDOWS\system32\winlib.dll - failed (0xC0000034)
-- End --

Логи повторил. нашёл 2 подозрительных файла:

C:\Documents and Settings\Лёня\Local Settings\Temp\LYLOADER.EXE - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
Файл успешно помещен в карантин (C:\Documents and Settings\Лёня\Local Settings\Temp\LYLOADER.EXE)
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.com)

Прикрепляю и карантин тоже. Пароль на архив карантина: 123456

 

virusinfo_syscheck.zip virusinfo_syscure.zip 2007_09_02.rar

[NickGolovko]

CbIP, проделайте, пожалуйста, следующие операции.

 

1) Получите протокол менеджера служб и драйверов, как я описал выше.

 

2) Получите протокол менеджера автозагрузки (Сервис - Менеджер автозапуска, сохраните протокол и выложите здесь).

 

3) Из безопасного режима вручную удалите содержимое всех папок с именем Temp. Помните, что их несколько.

 

4) Сервис - Поиск файлов на диске. Задайте образец winlib?.dll и запустите поиск по диску C.

[CbIP]

Извиняюсь, забыл прикрепить...

avz_autorun.rar avz_services.rar

[NickGolovko]

Прошу меня извинить: еще есть зараза, проглядел ее.

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
QuarantineFile('C:\Program Files\Common Files\CPUSH\cpush0.dll','');
DeleteFile('C:\Program Files\Common Files\CPUSH\cpush0.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После этого действия прежние: карантин за сегодняшнее число мне, и логи AVZ повторить.

Изменено 3 сентября, 2007 пользователем NickGolovko

[CbIP]

Выполнил. Вот файлы.

Пароль на архив: 123456

virusinfo_syscheck.zip virusinfo_syscure.zip 2007_09_04.rar

[NickGolovko]

Файлы упорные. Сидят где сидели.

 

Давайте еще раз:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteDirectory('C:\Program Files\Common Files\CPUSH\');
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\');
BC_DeleteFile('C:\WINDOWS\system32\winlib .dll');
BC_DeleteFile('C:\Program Files\Common Files\CPUSH\cpush0.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Дальнейшие действия прежние.

 

Вы искали через AVZ по маске winlib?.dll ?

[CbIP]

Сделал.

Файл искал и в безопасном режиме при обычной загрузке, и при помощи AVZ, и при помощи стандартного поисковика. По маскам winlib?.dll, winlib.dd, winli?.dll ничего не найдено...

Вот логи и карантин винлогона. Проль: 123456

virusinfo_syscure.zip virusinfo_syscheck.zip 2007_09_05.rar