Это вирус? Проверял, не находит...

[Sagyru]

Здравствуйте.

 

Предыстория, пишу статью о интернет казино, в результате, накачал их себе целую кучу.

 

Проблема появилась неожиданно, не могу открыть или удалить, установить казино - любое.

 

Это вирус?

 

логи:

hijackthis.log

avz_log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

чтобы найти виновника, мы будем вынуждены удалить все неизвестные программы для онлайн-покера.

если что-то из удалённого Вам ещё понадобится, придётся переустановить наново.

НО: многие программы такого класса имеют в себе advare функционал.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('d:\documents and settings\Админ\application data\mypokerlab\pokernet\pokernet service.exe');
SetServiceStart('Pokernet', 4);
StopService('Pokernet');
QuarantineFile('D:\Program Files\Domain Research Tool\DRT.exe.bak','');
QuarantineFile('D:\Базы\*Спамер*\*Спамер* 3.0 (рабочий)\xdemo3.exe','');
QuarantineFile('D:\VertrigoServ\mysql\bin\v_mysqld.exe','');
QuarantineFile('D:\Rummy Royal\updater.exe','');
QuarantineFile('D:\Program Files\EDS5\ExpiredDomainSleuth.exe','');
QuarantineFile('D:\Poker\Titan Poker\casino.exe','');
QuarantineFile('D:\Microgaming\Casino\VirtualCity\casinogame.exe','');
QuarantineFile('D:\Microgaming\Casino\CrazyVegas\casinogame.exe','');
QuarantineFile('D:\Microgaming\Casino\CasinoClassic\casinogame.exe','');
QuarantineFile('D:\Betraiser\Poker\betraiser.exe','');
QuarantineFile('d:\documents and settings\Админ\application data\mypokerlab\pokernet\pokernet service.exe','');
DeleteFile('D:\Documents and Settings\Админ\Application Data\MyPokerLab\Pokernet\Pokernet Service.exe');
DeleteFileMask('D:\Documents and Settings\Админ\Application Data\MyPokerLab\ ','*.* ',true ,' ');
DeleteDirectory('D:\Documents and Settings\Админ\Application Data\MyPokerLab\ ',' ');
DeleteFile('D:\Betraiser\Poker\betraiser.exe');
DeleteFileMask('D:\Betraiser\Poker\ ','*.* ',true ,' ');
DeleteDirectory('D:\Betraiser\Poker\ ',' ');
DeleteFile('D:\Microgaming\Casino\CasinoClassic\casinogame.exe');
DeleteFile('D:\Microgaming\Casino\CrazyVegas\casinogame.exe');
DeleteFile('D:\Microgaming\Casino\VirtualCity\casinogame.exe');
DeleteFileMask('D:\Microgaming\Casino\ ',' *.*', true,' ');
DeleteDirectory('D:\Microgaming\Casino\ ',' ');
DeleteFile('D:\Poker\Titan Poker\casino.exe');
DeleteFileMask('D:\Poker\Titan Poker\ ','*.* ',true ,' ');
DeleteDirectory('D:\Poker\Titan Poker\ ',' ');
DeleteFile('D:\Rummy Royal\updater.exe');
DeleteFileMask('D:\Rummy Royal\ ','*.* ',true ,' ');
DeleteDirectory('D:\Rummy Royal\ ',' ');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('Pokernet');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O9 - Extra button: Casino Classic - @АF СFЂеF€QChbC(„CHsC•CиҐCР¶CёЗCЁШC�йCИъCё
DЁD€-Dp>DXOD@`D0qD - D:\Microgaming\Casino\CasinoClassic\casinogame.exe (file missing) (HKCU)
O9 - Extra button: PokerTime - {2608A546-6FE9-4FD7-951A-1A043CCF459F} - D:\Microgaming\Poker\PokerTimeMPP\MPPoker.exe (HKCU)
O9 - Extra button: Golden Riviera Flash Casino - {4c0cdc82-00c5-4995-a42d-5a6d50b5bd06} - https://goldenriviera.gameassists.co.uk/goldenriviera/Default.aspx?btag=w6613c243p001b225 (file missing) (HKCU)
O9 - Extra button: Crazy Vegas - {6B626075-4564-459D-953F-4C0B5270E0FF} - D:\Microgaming\Casino\CrazyVegas\bresume.exe (file missing) (HKCU)
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

[Sagyru]

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Не могу выполнить данный пункт. Он у меня весит 17 мегабайт, а для загрузки доступно 15 метров.

 

Пока буду обновляться, спасибо за помощь.

Изменено 28 июня, 2011 пользователем Sagyru

[Roman_Five]

Не могу выполнить данный пункт. Он у меня весит 17 мегабайт, а для загрузки доступно 15 метров.

если будет нужно, отправим следующий карантин - он будет поменьше.

[Sagyru]

Готово. Простите, что так долго. Работаю...

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Базы\*Спамер*\*Спамер* 3.0 (рабочий)\xdemo3.exe','');
QuarantineFile('D:\Program Files\Domain Research Tool\DRT.exe.bak','');
QuarantineFile('D:\VertrigoServ\mysql\bin\v_mysqld.exe','');
QuarantineFile('D:\Program Files\EDS5\ExpiredDomainSleuth.exe','');
QuarantineFile('D:\WINDOWS\system32\isapnp.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

что с проблемой?

[Sagyru]

Ваш запрос успешно отправлен в Департамент исследований и разработки Лаборатории Касперского.

 

 

Скачал казино и покер рум, работает!

 

Большое спасибо... Отчет опубликую.

[Sagyru]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

DRT.exe.bak,

ExpiredDomainSleuth.exe,

v_mysqld.exe

 

Файлы в процессе обработки.

 

bcqr00009.dat,

bcqr00010.dat,

isapnp.sys

 

Вредоносный код в файлах не обнаружен.

 

С уважением, Лаборатория Касперского

 

 

Больше не чего не приходило. Спасибо еще раз, помогли.