Wirusy Win32/....PSW.OnlineGames.... (3 odmiany)

wojp · 23 Luty 2010 20:01

Właśnie zakończył wizytę u mnie kuzyn (miłośnik gry Tibia) i… jak się po wizycie okazało, pozostawił po sobie nieco bajzlu w postaci:

Win32/AutoRun.PSW.OnlineGames.AU

Win32/PSW.OnLineGames.NNU

Win32/PSW.OnLineGames.OTM

NOD32 pokasował kilka plików: http://www.wklej.eu/index.php?id=b491c1e621

Spyware Doctorem przeskanowałem system i usunąłem z rejestru odwołanie do uruchamiania wskazanego w Spyware Doctorze pliku (herss.exe w Tempie).

Skasowałem też w rejestrze wszelkie istniejące klucze MADOWN (to nie było zbyt przemyślane, późno było jak to robiłem, ale mam nadzieję, że za bardzo sobie nie zaszkodziłem - mam nadzieję, że któryś nie był kluczem ‘do pozostawienia’).

Nie mogłem też przywrócić ustawionej niegdyś widoczności ukrytych plików oraz plików systemowych - to wyedytowałem w rejestrze na podstawie znalezionych instrukcji (zadziałało).

Minęły jednak 2 dni i komp nie działa idealnie stabilnie, więc tak jakby coś jeszcze zostało. Np. po uruchomieniu, a mam WinXP home, pojawia się ekran wyboru użytkownika i… kursor się rusza, ale nie można w żadnego usera kliknąć (tak już ze 3 razy było). I tam jeszcze kilka pomniejszych objawów spowolnienia lub zwieszenia np. reakcji IE (startuje ładowanie strony i już nigdy nie kończy - klepsydra i tylko zamknięcie procesu skutkuje).

Będę zobowiązany za pomoc i sprawdzenie, czy coś jeszcze nie zostało do usunięcia, aby pozbyć się problemów do końca zamiast format c:

Załączam logi:

HiJackThis: http://www.wklej.eu/index.php?id=7fef083513 (zrobione jeszcze nocą z 21/22 lutego)

HiJackThis: http://www.wklej.eu/index.php?id=f9debdcf36 (zrobione przed chwilą, czyi 23 lutego)

ComboFix: http://www.wklej.eu/index.php?id=3a3523a416 (zrobione przed chwilą, czyi 23 lutego)

Pozdrawiam i liczę na waszą pomoc i weryfikację ww. logów.

– Dodane 23.02.2010 (Wt) 21:36 –

Dodaję jeszcze log OTL

http://www.wklej.eu/index.php?id=9a86ceda17

Dodam, że źródłem infekcji był pendrive wspomnianego kuzyna.

Źródło infekcji wyjechało wraz z kuzynem, więc pozostało jedynie zamiatanie na moim kompie.

W razie potrzeby służę także innymi logami.

jessica · 23 Luty 2010 21:40

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

To groźnie wygląda, bo może być (choć nie musi) oznaka wirusa VIRUT, zarażającego wszystkie .exe.

Trzeba to sprawdzić:

Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >http://www.speedyshare.com/files/20876003/launch.com

Napisz, co wykrył.

jessi

wojp · 23 Luty 2010 23:50

Dzięki za wskazówki!

Chwilowo się wstrzymałem z egzekucją podanego kodu, bo folder C:\Qoobox zawiera efekt działania ComboFixa - jakieś pliki recovery itp.:

Add-Remove Programs.txt

ComboFix-quarantined-files.txt

SnapShot@2010-02-23_19.48.37.dat

w podfolderze BackEnv - tu 16 plików .dat oraz SetPath.bat

w podfolderze Quarantine - catchme.log oraz podfolder Registry_backups, a tam:

AddRemove-Tibia_is1.reg.dat
HKCU-Run-Uniblue RegistryBooster 2009.reg.dat
Notify-LogonInit.reg.dat
tcpip.reg

w podfolderze Quarantine jeszcze podfolder C\Documents and Settings\Miki\Cookies\miki@managerzone[2].txt.vir

Po zakończeniu ComboFixa restartowałem kompa i ruszył, więc może ten folder jest już zbędny, ale na wszelki wypadek się wstrzymałem, aby poinformować o powyższym.

EDITED: Dr.WEB CureIt! w szybkim skanowaniu niczego nie wykrył.

Na noc profilaktycznie zostawię pełne skanowanie i czekam (i liczę) na potwierdzenie czy mam uruchomić w OTL pełen kod jak podany powyżej, czy okrojony.

jessica · 24 Luty 2010 07:23

Ja z pełną świadomością dałam do usuwania “Qoobox”. Wzięłam pod uwagę to, co usuwał ComboFix, oraz fakt, że po użyciu ComboFixa komputer dalej funkcjonuje. W świetle powyższego “Qoobox” jest już zbędny.

jessi

wojp · 25 Luty 2010 06:07

Załączam:

Wynik działania Dr.Web CureIt (skanowanie pełne): http://www.wklej.eu/index.php?id=abb6a5cf4f

Wynik skryptu OTL: http://www.wklej.eu/index.php?id=bb81f62530

Ponowny scan OTL: http://www.wklej.eu/index.php?id=601a99709e

Niestety przez moje zwątpienie wykonałem najpierw Dr.Web, a później OTL, ale… zrobiłem i będę wdzięczny za zweryfikowanie wyniku.

jessica · 25 Luty 2010 06:41

To dobrze, że nie masz VIRUT’a.

To powyższe, to oczywiście pomyłka “Dr.web’a”

W nowym logu OTL jest czysto.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną. Zniknie też … ComboFix!

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

wojp · 25 Luty 2010 19:45

Wielkie dzięki za poświęcony czas i pomoc!