Показано с 1 по 17 из 17.

Internet Security (заявка № 67176)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53

    Question Internet Security

    Подцепил Internet Security
    Успел сделать логи
    Заранее благодарен за помощь

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\Fonts\BRLNSR.TTF:WVTD1D','');
     QuarantineFile('c:\windows\fonts\brlnsr.ttf:WVTD1D:$DATA','');
     DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('c:\windows\fonts\brlnsr.ttf:WVTD1D:$DATA');
     DeleteFile('C:\WINDOWS\Fonts\BRLNSR.TTF:WVTD1D');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Fonts\BRLNSR.TTF:WVTD1D', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67176

    4. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    Рекомендации выполнить не получилось - при обновлении АВЗ выдавалось ошибка - вирус это блокирует
    при выполнении серипта также выскакивала ошибка

    Разблокировал при помощи кода, позвонив провайдеру
    после этого сделал новые логи и выслал карантин

  5. #4
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    Просканировал систему при помощи KIS 2010
    Затем сделал новые логи и карантин

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Егор\Local Settings\Temp\oydbaso.dll','');
     QuarantineFile('C:\Documents and Settings\Егор\Local Settings\Temp\hetqg.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\inf\spx.inf:WVTD1D:$DATA','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\inf\spx.inf:WVTD1D:$DATA');
     DeleteFileMask('C:\Documents and Settings\Егор\Local Settings\Temp','*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    не фиксится -
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\sdra64.exe,
    Нажимаю фикс, при повторном прогоне HihgJack эта штука остается
    Скачал самый новый хайджек

    В АВЗ скрипты выполнил, логи прилагаю

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Более зловредного по логам не нашел.
    Что с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    Проблема больше не наблюдается, но KIS 2010 регулярно блокирует попытки компъютера обратиться по вредоносной ссылке http://dlink4.biz/cPo4/er.php
    в чем тут может быть дело?

    Кроме того в папке C:\Documents and Settings\Егор\Application Data нашел SDRA64.EXE
    а в папке C:\WINDOWS\Prefetch нашел SDRA64.EXE-22920778.pf
    последний запаковал с паролем virus ивложил по красной ссылке
    Последний раз редактировалось Egorik; 17.01.2010 в 17:04.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от Egorik Посмотреть сообщение
    Кроме того в папке C:\Documents and Settings\Егор\Application Data нашел SDRA64.EXE
    Этот файл загрузите согласно приложению 3 правил:
    http://virusinfo.info/pravila.html

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    Цитата Сообщение от Сообщение от Egorik [URL="http://virusinfo.info/showthread.php?p=562958#post562958"
    [/URL]
    Кроме того в папке C:\Documents and Settings\Егор\Application Data нашел SDRA64.EXE
    Этот файл загрузите согласно приложению 3 правил:
    http://virusinfo.info/pravila.html:
    - не успел его запаковать, КИС его удалил

    логи прикладываю
    Последний раз редактировалось Egorik; 18.01.2010 в 01:33.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     DeleteFile('C:\DOCUME~1\9DEC~1\LOCALS~1\Temp\x.bat');
     DeleteFileMask('%tmp% ','*.* ',true );
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог virusinfo_syscheck.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    Сделал

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего зловредного в логах не увидела. Что с проблемами?
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    Проблем больше не заметно.
    Только при входе в систему под ограниченным пользователем выскакивает системное сообщение:
    Невозможно найти
    'C:\DOCUME~1\9DEC~1\LOCALS~1\Temp\x.bat', ссылка на котором есть в реестре."


    Как это пофиксить?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от Egorik Посмотреть сообщение
    Как это пофиксить?
    Попробуйте такой скрипт:

    Код:
    begin
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1935655697-839522115-332771907-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1935655697-839522115-332771907-1004\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    end.
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    13.12.2009
    Сообщений
    56
    Вес репутации
    53
    После выполнения этого скрипта не получаеся войти в систему под юзерами с ограниченными правами.
    после ввода пароля юзера выбрасывает назад в экран выбора пользователя

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\inf\mdmcomp.inf:wvtd1d:$data - Trojan-Ransom.Win32.SMSer.uk
      2. c:\windows\inf\spx.inf:wvtd1d:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\windows\system32\sdra64.exe - Trojan-Downloader.Win32.Piker.btc ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.iq0@audU2hic, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Egorik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Internet Security
      От Alaric в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 21.01.2010, 20:56
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 02:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 16:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01481 seconds with 19 queries