Показано с 1 по 12 из 12.

Internet Security и иже с ним... (заявка № 67257)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    55

    Thumbs up Internet Security и иже с ним...

    Доброго времени суток, товарищи!
    Ситуация следующая:
    Компьютер долгое время работал без перезагрузок(и, собственно, выключений). Было замечено, что он стал немного подтормаживать. Лицензионный антивирус Касперского 6-й версии ничего подозрительного не находил.
    Вчера компьютер переносили с места на место. После включения на рабочем столе появилось окно Internet Security, информировавшее о наличии на компьютере вирусов, тикавшим таймером и требованием отправки sms(K206714100 на 4460). Запрещены Диспетчер Задач, Редактор Реестра, пункт меню Свойства Папки. Был удалён из автозапуска и повреждён антивирус.
    Компьютер был проверен DrWeb LiveCD. В ходе проверки в System32 было обнаружено 2 инфицированных файла simdpp.dll и simdpx.sys, которые были классифицированы DrWeb как Trojan.PWS.GoldSpy.2905 и Trojan.NtRootKit.4398 соответственно. Оба были удалены.
    После ЛайвСД была запущен HijackThis, выявивший тотальные изменения в файле hosts(по сути, его содержимое представляло собой html-код, т.е. был похож на html-страницу в Блокноте). Исправлено, прописано то, что должно быть + пофиксены некоторые пустые и "левые" строки.
    Утилита GMER не проводит экспресс-тест до конца и завершается с ошибкой Windows.
    Получить требуемые логи от AVZ удалось, наверное, с 5-го раза и только после того, как была активизарована самозащита и разрешён драйвер расширенного мониторинга(AVZPM): на пункте "Исследование системы" пропадал рабочий стол, утилита зависала - помогала только перезагрузка...
    При помощи AVZ было воссстановлено отображение Диспетчера Задач и Редактора Реестра; сделаны логи, запрещён автозапуск с "флешек" и т.д. НО! После перезагрузки вновь появился Internet Security.... Попытка воспользоваться "Сервисом деактивации вымогателей-блокеров" на сайте антивируса Касперского ни к чему не привела: выданные Сервисом коды 4298 и 5739 не подошли...
    Последний раз редактировалось Hamrad; 09.04.2010 в 10:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\simdpx.sys','');
     QuarantineFile('C:\WINDOWS\nsreg.dat:XlwLFC','');
     DeleteFile('C:\WINDOWS\nsreg.dat:XlwLFC');
     DeleteFile('C:\WINDOWS\system32\simdpx.sys');
     DeleteService('simdpx');
     DelBHO('{32683183-48a0-441b-a342-7c2a440a9478}');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Пофиксите Hijackthis
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\nsreg.dat:XlwLFC
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Закачайте карантин по красной ссылке вверху. Повторите логи
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    55
    Здравствуйте
    Пофиксил, скрипт выполнил, логи сделал, карантин отправил:
    Файл сохранён как 100115_111303_2009-01-15_4b50238fa412e.zip
    Размер файла 107825
    MD5 7da7b8568485bf55af279e6e1cd6833f

    В карантин попал файл klwk.com, являющийся лечащей утилитой, скачанной с сайта Касперского.
    Логи выпонялись с изменённой на компьютере системной датой, т.к. это являлось единственным способом "заткнуть" этот самый Internet Security...
    Докучи ко всему появилась ещё одна проблема: на "флешку", вставленную в заражённый компьютер, прописывался Trojan.Win32.AutoRun.oc со всем своим остальным "добром": скрытая папка recycler с находящейся в ней библиотекой qkpqno.dll, инфицированной Packed.Win32.Krap.w. KAV6 на "здоровой" машине вовремя пресекал попытки автозапуска и чистил "флешку".
    Прикладываю новые логи:
    Последний раз редактировалось Hamrad; 09.04.2010 в 10:04.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe','');
     DeleteService('Boonty Games');
     DeleteFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин. Сделайте полную проверку КАВ со свежими базами. Повторите логи
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    55
    В процессе выполнения скрипта, не выдав сообщение о завершении его выполнения, компьютер "ушёл" в перезагрузку... После загрузки - голый Рабочий Стол. Комбинация Ctrl+Alt+Del сработала - появился Диспетчер Задач... Но explorer.exe в нём есть.. Попробовал перезапустить процесс - никакой реакции.. Выбрал пункт "Выключить компьютер" - фоновый рисунок изменился на голубой экран(как это обычно бывает при выключении) и компьютер "повис" минут на десять, после чего благополучно перезагрузился. Загрузился нормально, быстро, без нареканий.
    Снёс остатки от Касперского и установил его заново из нового дистрибутива; он вроде даже как обновился после.. Но при следующей загрузке - вновь неактивный пункт котекстного меню "проверить при помощи КАВ".. В запущенных процессах антивируса не видно..
    Сейчас буду пробовать провериться Virus Removal Tool... Посему, логи и более полный отчёт - попозже...
    Да, чуть не забыл, карантин я вам отправил(папка Quarantine оказалась пустой, поэтому я отправил файл virusinfo_cure.zip):
    Файл сохранён как 100115_173656_virusinfo_cure_4b507d880a279.zip
    Размер файла 639569
    MD5 72ad2be409686071e9a63737ef3ad901

    Добавлено через 40 минут

    Virus Removal Tool обнаружил в System32 того самого Packed.Win32.Krap.w(kybkjv.dll)... Странно, что AVZ его пропустил.. Может быть, что-то новое? Сохранил его копию, если вдруг вам потребуется...
    Последний раз редактировалось Hamrad; 15.01.2010 в 18:13. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    55
    С ужасающей силой компьютер тормозит... Еле-еле загрузился рабочий стол и программы, прописанные пользователем в автозапуске. Мой Компьютер открывался минут пять.. В Диспетчере Задач загрузка процессора колеблется в районе "нуля", т.е. он практически ничем не "озадачен"; файл подкачки - аналогично...
    На вставленную "флешку" реагирует также долго.. Однако, через диспетчер задач AVZ запустился сразу же; логи были составлены также относительно быстро(в то время, как система ещё пыталась прогрузиться...).
    В папке Карантин появились новые файлы(подозреваю, что та же программка klwk.com) - выслал:
    Файл сохранён как 100115_201609_2010-01-15ver2_4b50a2d9a2685.zip
    Размер файла 339047
    MD5 79ce9bc8f1e09a19e5db4d7de8bf3c94
    Вот новые логи:


    Установил сейчас антивирус Касперского 6 по-новой: пока всё в полном порядке: в конце установки компьютер перезагрузился по требованию программы; после перезагрузки - всё пучком
    Последний раз редактировалось Hamrad; 09.04.2010 в 10:04.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ничего подозрительного не видно.
    Рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    55
    Спасибо большое за помощь!
    Про 3-й Service Pack пользователю уже сказал в самом начале
    Система продолжает, порой очень сильно, подтормаживать. Касперский настроен, обновлён..
    И всё же, непонятно, каким образом смогло данное вредоносное ПО проскользнуть мимо такой серьёзной преграды?.. Тот же самый Packed.Win32.Krap.w уже сравнительно давно определяется KAV... Кстати, не заметил на данном компьютере "привычный" для такого заражения sdra64.exe..

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Нет в природе антивируса, который защитит от всего . Ограниченная в правах учетная запись для выхода в интернет, установленные своевременно обновления и надежные источники для устанавливаемых программ - и риск попадания такой заразы сведется к минимуму
    The Truth is Out There

  11. #10
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    55
    Спасибо вам, тов.Vegas и вам, тов.Bratez!
    Забыл совсем сказать: невозможно стало загрузиться в Безопасном Режиме: при нажатии F8 - DOS-овское окошко с предложением выбора диска, с которого произойдёт загрузка.. Выполнение в AVZ команды:
    Код:
    begin
    ExecuteRepair (10);
    RebootWindows (true);
    end.
    ни к чему не приводит...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Hamrad Посмотреть сообщение
    при нажатии F8 - DOS-овское окошко с предложением выбора диска, с которого произойдёт загрузка..
    А раньше не так было?
    Это особенность биоса вашей материнской платы. Не слишком удачный выбор клавиши для вызова списка загрузочных устройств... Но ничего страшного: выбираем свой жесткий диск, жмем Enter и снова клацаем по F8!
    I am not young enough to know everything...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\nsreg.dat:xlwlfc - Packed.Win32.Krap.w ( BitDefender: Trojan.Generic.2964109, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Hamrad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Internet Security
      От Alaric в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 21.01.2010, 20:56
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 02:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 16:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01086 seconds with 19 queries