Показано с 1 по 17 из 17.

Internet Security (заявка № 67176)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26

    Question Internet Security

    Подцепил Internet Security
    Успел сделать логи
    Заранее благодарен за помощь

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\Fonts\BRLNSR.TTF:WVTD1D','');
     QuarantineFile('c:\windows\fonts\brlnsr.ttf:WVTD1D:$DATA','');
     DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('c:\windows\fonts\brlnsr.ttf:WVTD1D:$DATA');
     DeleteFile('C:\WINDOWS\Fonts\BRLNSR.TTF:WVTD1D');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Fonts\BRLNSR.TTF:WVTD1D', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67176

    4. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    Рекомендации выполнить не получилось - при обновлении АВЗ выдавалось ошибка - вирус это блокирует
    при выполнении серипта также выскакивала ошибка

    Разблокировал при помощи кода, позвонив провайдеру
    после этого сделал новые логи и выслал карантин

  5. #4
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    Просканировал систему при помощи KIS 2010
    Затем сделал новые логи и карантин

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Егор\Local Settings\Temp\oydbaso.dll','');
     QuarantineFile('C:\Documents and Settings\Егор\Local Settings\Temp\hetqg.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\inf\spx.inf:WVTD1D:$DATA','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\inf\spx.inf:WVTD1D:$DATA');
     DeleteFileMask('C:\Documents and Settings\Егор\Local Settings\Temp','*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    не фиксится -
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\sdra64.exe,
    Нажимаю фикс, при повторном прогоне HihgJack эта штука остается
    Скачал самый новый хайджек

    В АВЗ скрипты выполнил, логи прилагаю

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Более зловредного по логам не нашел.
    Что с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    Проблема больше не наблюдается, но KIS 2010 регулярно блокирует попытки компъютера обратиться по вредоносной ссылке http://dlink4.biz/cPo4/er.php
    в чем тут может быть дело?

    Кроме того в папке C:\Documents and Settings\Егор\Application Data нашел SDRA64.EXE
    а в папке C:\WINDOWS\Prefetch нашел SDRA64.EXE-22920778.pf
    последний запаковал с паролем virus ивложил по красной ссылке
    Последний раз редактировалось Egorik; 17.01.2010 в 17:04.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Цитата Сообщение от Egorik Посмотреть сообщение
    Кроме того в папке C:\Documents and Settings\Егор\Application Data нашел SDRA64.EXE
    Этот файл загрузите согласно приложению 3 правил:
    http://virusinfo.info/pravila.html

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    Цитата Сообщение от Сообщение от Egorik [URL="http://virusinfo.info/showthread.php?p=562958#post562958"
    [/URL]
    Кроме того в папке C:\Documents and Settings\Егор\Application Data нашел SDRA64.EXE
    Этот файл загрузите согласно приложению 3 правил:
    http://virusinfo.info/pravila.html:
    - не успел его запаковать, КИС его удалил

    логи прикладываю
    Последний раз редактировалось Egorik; 18.01.2010 в 01:33.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     DeleteFile('C:\DOCUME~1\9DEC~1\LOCALS~1\Temp\x.bat');
     DeleteFileMask('%tmp% ','*.* ',true );
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  13. #12
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    Сделал

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ничего зловредного в логах не увидела. Что с проблемами?
    Наша служба, будто сердце, отдыха не знает никогда.

  15. #14
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    Проблем больше не заметно.
    Только при входе в систему под ограниченным пользователем выскакивает системное сообщение:
    Невозможно найти
    'C:\DOCUME~1\9DEC~1\LOCALS~1\Temp\x.bat', ссылка на котором есть в реестре."


    Как это пофиксить?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от Egorik Посмотреть сообщение
    Как это пофиксить?
    Попробуйте такой скрипт:

    Код:
    begin
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1935655697-839522115-332771907-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1935655697-839522115-332771907-1004\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    end.
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    26
    После выполнения этого скрипта не получаеся войти в систему под юзерами с ограниченными правами.
    после ввода пароля юзера выбрасывает назад в экран выбора пользователя

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\inf\mdmcomp.inf:wvtd1d:$data - Trojan-Ransom.Win32.SMSer.uk
      2. c:\windows\inf\spx.inf:wvtd1d:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\windows\system32\sdra64.exe - Trojan-Downloader.Win32.Piker.btc ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.iq0@audU2hic, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Egorik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Internet Security
      От Alaric в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 21.01.2010, 20:56
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 02:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 16:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00800 seconds with 21 queries