Показано с 1 по 17 из 17.

Internet Security sms 4460 (заявка № 66884)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26

    Thumbs up Internet Security sms 4460

    После загрузки системы через пару минут все запускаемые приложения стали совершать ошибки по адресу ...
    После перезагрузки в безопасном режиме запуск любого exe приводил к появлению сообщения что Internet Security обнаружил заражение и в конечном итоге просил отправить смс на номер 4460. попытки запустить антивирусы с CD приводили к синему экрану с какими обрывочными 10 символами.
    Проверка компьютера LiveCD DrWeb от 2010.01.11 ни чего не обнаружила.
    Загрузился с LiveCd alkid и утилитой ADSSpy.exe обнаружил где-то в tmp 2 стрима один размером в районе 125 килобайт и оба их удалил. заодно удалил все стримы Zone.identifier. после всего этого система загрузилась и я смог загрузить рекомендованные программы. логи прилагаю.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('RemoteRegistry', 4);
     QuarantineFile('C:\WINDOWS\Help\imgprev.chm:VxuaamfzHonZ','');
     QuarantineFile('C:\WINDOWS\TEMP\~TME.tmp','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\WINDOWS\TEMP\~TME.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\Help\imgprev.chm:VxuaamfzHonZ');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\imgprev.chm:VxuaamfzHonZ', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=66884

    4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    1. Вкладка Восстановление системы - исчезла - поправил через gpedit.msc хотя в той состояние отражалось как "не задана". вообще все поля в gpedit в состоянии "не задано", кроме включенного запрета на автозапуск.
    Антивирус отключить не смог потмоукчто доступ к AVG и Agnitume запрещен групповой политикой безопасности. В просмоторщике событий написано что изза правила
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{99B8D77D-B3FB-4642-904B-600B49AE5052}
    "ItemData"="C:\\Program Files\\AVG"
    "SaferFlags"=dword:00000000
    также там обнаружил
    C:\\Program Files\\Agnitum
    C:\\Program Files\\AVG\
    C:\\Program Files\\VMware
    2. скрипт заупустил
    3. скрипт запустил.
    4. логи из разряда Диагонтси ка 2 и 3 сделал . прилагаю.
    Что мне делать с этими политками? просто удалить?
    там еще есть ветка HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Hashes\
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    карантин выслал.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Сделайте отчет GSI http://support.kaspersky.ru/faq/?qid=180593373
    Наша служба, будто сердце, отдыха не знает никогда.

  7. #6
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    отчет GSI
    правда с последнего сообщения я уже
    1. очистил ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\ - управление AVG и Outpost'ом восстановилось.
    2. накатил SP3 и все последние критические обновления ло 12 декабря 2009 года включительно.
    поэтому прилагаю заодно и новые логи.
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ничего зловредного в логах не увидела. Проблема решена?

    Цитата Сообщение от kurga Посмотреть сообщение
    отчет GSI
    правда с последнего сообщения я уже
    1. очистил ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\ - управление AVG и Outpost'ом восстановилось.
    Я так поняла, что лог делался до удаления ветки реестра?
    Наша служба, будто сердце, отдыха не знает никогда.

  9. #8
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Ничего зловредного в логах не увидела. Проблема решена?
    Сейчас проблем не замечаю.
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Я так поняла, что лог делался до удаления ветки реестра?
    Нет. все логи в нынешнем конечном состоянии.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от kurga Посмотреть сообщение
    Нет. все логи в нынешнем конечном состоянии.
    Значит плохо почистили ветку реестра. Можете сами открыть отчет GSI в блокноте и глянуть.

    Message : Доступ к C:\PROGRA~1\AVG\AVG9\avgtray.exe был ограничен Администратором по расположению правилом политики {ad400313-baac-4bfe-8a03-6ece733115df}, расположенной в C:\Program Files\AVG\

    ...
    Наша служба, будто сердце, отдыха не знает никогда.

  11. #10
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    есть такая запись в свежем логе котjрый GSI сделал прямо сейчас. В разделе <NTLogEvent>
    но
    TimeGenerated : 20100112200809.000000+180
    TimeWritten : 20100112200809.000000+180
    в реестре поиск по ad400313-baac-4bfe-8a03-6ece733115df ничего не дает
    чистил реестр я 13-го и тогда же накатил сервис пак и все обновления
    это запись есть в событиях системных.
    зато в реестре сечас появилась с пустого места такая запись

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-
    834d-be2efd2c1a33}]
    "Description"=""
    "SaferFlags"=dword:00000000
    "ItemData"=%HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
    "LastModified"=hex(b):2c,68,ce,dd,d2,93,ca,01

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Приложите новый лог.
    Наша служба, будто сердце, отдыха не знает никогда.

  13. #12
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    прикладываю.
    Вложения Вложения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Удалите в реестре.

    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{ad400313-baac-4bfe-8a03-6ece733115df}
    C:\Program Files\AVG
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{64f87d83-dd42-424c-a0ba-56514eba6045}
    C:\Program Files\Agnitum
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{780ebf6f-43d5-466d-9d5c-9a8e09b4b4a0}
    C:\Program Files\VMware
    Наша служба, будто сердце, отдыха не знает никогда.

  15. #14
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    нет таких записей реестре.
    вот как вся ветка выглядит.
    Вложения Вложения

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Тогда все... Проблем больше нет?
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    9
    Вес репутации
    26
    тогда все. спасибо.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,509
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Downloader.Win32.Piker.akx ( DrWEB: Trojan.DownLoad1.20703, BitDefender: Trojan.Generic.2889622, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) kurga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Internet Security 4460 k205415200
      От Sesh777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2010, 09:12
    2. Internet Security - sms на 4460
      От a5b в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.01.2010, 01:32
    3. Internet Security требует смс на 4460
      От accki в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.01.2010, 16:27
    4. Помогите - Internet Security 4460
      От Julia1412 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 12:15
    5. Internet Security вымогает sms на 4460
      От Ниид хелп в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.01.2010, 07:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00154 seconds with 21 queries