Показано с 1 по 17 из 17.

Internet Security sms 4460 (заявка № 66884)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52

    Thumbs up Internet Security sms 4460

    После загрузки системы через пару минут все запускаемые приложения стали совершать ошибки по адресу ...
    После перезагрузки в безопасном режиме запуск любого exe приводил к появлению сообщения что Internet Security обнаружил заражение и в конечном итоге просил отправить смс на номер 4460. попытки запустить антивирусы с CD приводили к синему экрану с какими обрывочными 10 символами.
    Проверка компьютера LiveCD DrWeb от 2010.01.11 ни чего не обнаружила.
    Загрузился с LiveCd alkid и утилитой ADSSpy.exe обнаружил где-то в tmp 2 стрима один размером в районе 125 килобайт и оба их удалил. заодно удалил все стримы Zone.identifier. после всего этого система загрузилась и я смог загрузить рекомендованные программы. логи прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('RemoteRegistry', 4);
     QuarantineFile('C:\WINDOWS\Help\imgprev.chm:VxuaamfzHonZ','');
     QuarantineFile('C:\WINDOWS\TEMP\~TME.tmp','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\WINDOWS\TEMP\~TME.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\Help\imgprev.chm:VxuaamfzHonZ');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\imgprev.chm:VxuaamfzHonZ', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=66884

    4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    1. Вкладка Восстановление системы - исчезла - поправил через gpedit.msc хотя в той состояние отражалось как "не задана". вообще все поля в gpedit в состоянии "не задано", кроме включенного запрета на автозапуск.
    Антивирус отключить не смог потмоукчто доступ к AVG и Agnitume запрещен групповой политикой безопасности. В просмоторщике событий написано что изза правила
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{99B8D77D-B3FB-4642-904B-600B49AE5052}
    "ItemData"="C:\\Program Files\\AVG"
    "SaferFlags"=dword:00000000
    также там обнаружил
    C:\\Program Files\\Agnitum
    C:\\Program Files\\AVG\
    C:\\Program Files\\VMware
    2. скрипт заупустил
    3. скрипт запустил.
    4. логи из разряда Диагонтси ка 2 и 3 сделал . прилагаю.
    Что мне делать с этими политками? просто удалить?
    там еще есть ветка HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Hashes\

  5. #4
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    карантин выслал.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Сделайте отчет GSI http://support.kaspersky.ru/faq/?qid=180593373
    Сердце решает кого любить... Судьба решает с кем быть...

  7. #6
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    отчет GSI
    правда с последнего сообщения я уже
    1. очистил ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\ - управление AVG и Outpost'ом восстановилось.
    2. накатил SP3 и все последние критические обновления ло 12 декабря 2009 года включительно.
    поэтому прилагаю заодно и новые логи.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего зловредного в логах не увидела. Проблема решена?

    Цитата Сообщение от kurga Посмотреть сообщение
    отчет GSI
    правда с последнего сообщения я уже
    1. очистил ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\ - управление AVG и Outpost'ом восстановилось.
    Я так поняла, что лог делался до удаления ветки реестра?
    Сердце решает кого любить... Судьба решает с кем быть...

  9. #8
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Ничего зловредного в логах не увидела. Проблема решена?
    Сейчас проблем не замечаю.
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Я так поняла, что лог делался до удаления ветки реестра?
    Нет. все логи в нынешнем конечном состоянии.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от kurga Посмотреть сообщение
    Нет. все логи в нынешнем конечном состоянии.
    Значит плохо почистили ветку реестра. Можете сами открыть отчет GSI в блокноте и глянуть.

    Message : Доступ к C:\PROGRA~1\AVG\AVG9\avgtray.exe был ограничен Администратором по расположению правилом политики {ad400313-baac-4bfe-8a03-6ece733115df}, расположенной в C:\Program Files\AVG\

    ...
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    есть такая запись в свежем логе котjрый GSI сделал прямо сейчас. В разделе <NTLogEvent>
    но
    TimeGenerated : 20100112200809.000000+180
    TimeWritten : 20100112200809.000000+180
    в реестре поиск по ad400313-baac-4bfe-8a03-6ece733115df ничего не дает
    чистил реестр я 13-го и тогда же накатил сервис пак и все обновления
    это запись есть в событиях системных.
    зато в реестре сечас появилась с пустого места такая запись

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-
    834d-be2efd2c1a33}]
    "Description"=""
    "SaferFlags"=dword:00000000
    "ItemData"=%HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
    "LastModified"=hex(b):2c,68,ce,dd,d2,93,ca,01

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Приложите новый лог.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    прикладываю.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Удалите в реестре.

    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{ad400313-baac-4bfe-8a03-6ece733115df}
    C:\Program Files\AVG
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{64f87d83-dd42-424c-a0ba-56514eba6045}
    C:\Program Files\Agnitum
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{780ebf6f-43d5-466d-9d5c-9a8e09b4b4a0}
    C:\Program Files\VMware
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    нет таких записей реестре.
    вот как вся ветка выглядит.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Тогда все... Проблем больше нет?
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    52
    тогда все. спасибо.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Downloader.Win32.Piker.akx ( DrWEB: Trojan.DownLoad1.20703, BitDefender: Trojan.Generic.2889622, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) kurga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Internet Security 4460 k205415200
      От Sesh777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2010, 09:12
    2. Internet Security - sms на 4460
      От a5b в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.01.2010, 01:32
    3. Internet Security требует смс на 4460
      От accki в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.01.2010, 16:27
    4. Помогите - Internet Security 4460
      От Julia1412 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 12:15
    5. Internet Security вымогает sms на 4460
      От Ниид хелп в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.01.2010, 07:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00407 seconds with 19 queries