Internet Security 2

[kyler]

На ноутбуке с WinXp Home SP2 схватил трояна. Окно преимущественно красных тонов с надписью "Внимание! Internet Security обнаружил вредносоное ПО на вашем компьютере. Необходимо отправить смс сообщение". Запуск любых exe файлов вызывает "псевдопроверку" системы этим самым Internet Security с нахождением вирусов . В безопасном режиме ситуация аналогичная. AVZ, Hijack, CureIt не запускались. В биосе передвинул дату на 10 дней назад. Загрузился в безопасном режиме. CureIt вылетает на быстрой проверке, говоря что обнаружил 2 вируса и поместил их в карантин. В нормальном режиме удалось запустить HiJack и AVZ. Прилагаю логи.

[PavelA]

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\mrsvss.exe','');
 QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 DeleteFile('C:\WINDOWS\Inf\phildec.PNF:Kpo2zQFguYeE59V5zeYM');
 DeleteFile('c:\windows\inf\phildec.pnf:Kpo2zQFguYeE59V5zeYM:$DATA');
 DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по Правилам.
Сделать заново логи.

[kyler]

Скрипт выполнил. Карантин выслал. Время поставил текущее. Троян больше себя не проявляет. Единственное, о чем я забыл указать в первом посте, нет вкладки восстановление системы в свойствах моего компьютера. Запрошенные повторные логи прилагаю.

[PavelA]

выполнить скрипт

Код:

begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Inf\phildec.PNF:Kpo2zQFguYeE59V5zeYM', ''), ',,', ','));
RebootWindows(true);
end.

AVZ -- файл -- мастер поиска и устранения проблем -- Все проблемы -- отметить и выполнить.

Станд. скрипт №2 повторите. Прислать лог.

[kyler]

Скрипт выполнил. Мастер тоже. Лог прилагаю. Вкладка "восстановление системы" активна.

[PavelA]

Trojan.Win32.Agent2.cngm -- вот так зовется этот зверь теперь по классификации Касперского.

В логе чисто.

[kyler]

Павел. Еще вопрос. На ноуте стоит Eset Nod32. Не запускается. "Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения". Переустановка результатов не дала. В политиках ничего нет. Вообще ни одна политика не определена.

п.с. Подозреваю, что не совсем корректно, но вылечил следующим образом. Нашел с помощью AVZ в реестре ключи, в которых упоминается путь c:\program files\eset. После чего удалил соответствующий ключ из раздела HKLM\SOFTWARE\Policies\Microsoft\Windows\Safe\Code CodeIdentifiers\0\Paths

[PavelA]

Да, это именно так и лечиться. Все правильно сделали. Я же просто о блокировке а/вируса не знал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - Trojan.Win32.Agent2.cnfz ( DrWEB: Trojan.Packed.19599, AVAST4: Win32:Small-NFN [Trj] )
  2. c:\windows\inf\phildec.pnf:kpo2zqfguyee59v5zeym - Trojan.Win32.Agent2.cngm
  3. c:\windows\inf\phildec.pnf:kpo2zqfguyee59v5zeym:$d ata - Trojan.Win32.Agent2.cngm