-
Junior Member
- Вес репутации
- 55
Internet Security и иже с ним...
Доброго времени суток, товарищи!
Ситуация следующая:
Компьютер долгое время работал без перезагрузок(и, собственно, выключений). Было замечено, что он стал немного подтормаживать. Лицензионный антивирус Касперского 6-й версии ничего подозрительного не находил.
Вчера компьютер переносили с места на место. После включения на рабочем столе появилось окно Internet Security, информировавшее о наличии на компьютере вирусов, тикавшим таймером и требованием отправки sms(K206714100 на 4460). Запрещены Диспетчер Задач, Редактор Реестра, пункт меню Свойства Папки. Был удалён из автозапуска и повреждён антивирус.
Компьютер был проверен DrWeb LiveCD. В ходе проверки в System32 было обнаружено 2 инфицированных файла simdpp.dll и simdpx.sys, которые были классифицированы DrWeb как Trojan.PWS.GoldSpy.2905 и Trojan.NtRootKit.4398 соответственно. Оба были удалены.
После ЛайвСД была запущен HijackThis, выявивший тотальные изменения в файле hosts(по сути, его содержимое представляло собой html-код, т.е. был похож на html-страницу в Блокноте). Исправлено, прописано то, что должно быть + пофиксены некоторые пустые и "левые" строки.
Утилита GMER не проводит экспресс-тест до конца и завершается с ошибкой Windows.
Получить требуемые логи от AVZ удалось, наверное, с 5-го раза и только после того, как была активизарована самозащита и разрешён драйвер расширенного мониторинга(AVZPM): на пункте "Исследование системы" пропадал рабочий стол, утилита зависала - помогала только перезагрузка...
При помощи AVZ было воссстановлено отображение Диспетчера Задач и Редактора Реестра; сделаны логи, запрещён автозапуск с "флешек" и т.д. НО! После перезагрузки вновь появился Internet Security.... Попытка воспользоваться "Сервисом деактивации вымогателей-блокеров" на сайте антивируса Касперского ни к чему не привела: выданные Сервисом коды 4298 и 5739 не подошли...
Последний раз редактировалось Hamrad; 09.04.2010 в 10:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\simdpx.sys','');
QuarantineFile('C:\WINDOWS\nsreg.dat:XlwLFC','');
DeleteFile('C:\WINDOWS\nsreg.dat:XlwLFC');
DeleteFile('C:\WINDOWS\system32\simdpx.sys');
DeleteService('simdpx');
DelBHO('{32683183-48a0-441b-a342-7c2a440a9478}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксите Hijackthis
Код:
O20 - AppInit_DLLs: C:\WINDOWS\nsreg.dat:XlwLFC
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 55
Здравствуйте
Пофиксил, скрипт выполнил, логи сделал, карантин отправил:
Файл сохранён как 100115_111303_2009-01-15_4b50238fa412e.zip
Размер файла 107825
MD5 7da7b8568485bf55af279e6e1cd6833f
В карантин попал файл klwk.com, являющийся лечащей утилитой, скачанной с сайта Касперского.
Логи выпонялись с изменённой на компьютере системной датой, т.к. это являлось единственным способом "заткнуть" этот самый Internet Security...
Докучи ко всему появилась ещё одна проблема: на "флешку", вставленную в заражённый компьютер, прописывался Trojan.Win32.AutoRun.oc со всем своим остальным "добром": скрытая папка recycler с находящейся в ней библиотекой qkpqno.dll, инфицированной Packed.Win32.Krap.w. KAV6 на "здоровой" машине вовремя пресекал попытки автозапуска и чистил "флешку".
Прикладываю новые логи:
Последний раз редактировалось Hamrad; 09.04.2010 в 10:04.
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe','');
DeleteService('Boonty Games');
DeleteFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Сделайте полную проверку КАВ со свежими базами. Повторите логи
-
-
Junior Member
- Вес репутации
- 55
В процессе выполнения скрипта, не выдав сообщение о завершении его выполнения, компьютер "ушёл" в перезагрузку... После загрузки - голый Рабочий Стол. Комбинация Ctrl+Alt+Del сработала - появился Диспетчер Задач... Но explorer.exe в нём есть.. Попробовал перезапустить процесс - никакой реакции.. Выбрал пункт "Выключить компьютер" - фоновый рисунок изменился на голубой экран(как это обычно бывает при выключении) и компьютер "повис" минут на десять, после чего благополучно перезагрузился. Загрузился нормально, быстро, без нареканий.
Снёс остатки от Касперского и установил его заново из нового дистрибутива; он вроде даже как обновился после.. Но при следующей загрузке - вновь неактивный пункт котекстного меню "проверить при помощи КАВ".. В запущенных процессах антивируса не видно..
Сейчас буду пробовать провериться Virus Removal Tool... Посему, логи и более полный отчёт - попозже...
Да, чуть не забыл, карантин я вам отправил(папка Quarantine оказалась пустой, поэтому я отправил файл virusinfo_cure.zip):
Файл сохранён как 100115_173656_virusinfo_cure_4b507d880a279.zip
Размер файла 639569
MD5 72ad2be409686071e9a63737ef3ad901
Добавлено через 40 минут
Virus Removal Tool обнаружил в System32 того самого Packed.Win32.Krap.w(kybkjv.dll)... Странно, что AVZ его пропустил.. Может быть, что-то новое? Сохранил его копию, если вдруг вам потребуется...
Последний раз редактировалось Hamrad; 15.01.2010 в 18:13.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
С ужасающей силой компьютер тормозит... Еле-еле загрузился рабочий стол и программы, прописанные пользователем в автозапуске. Мой Компьютер открывался минут пять.. В Диспетчере Задач загрузка процессора колеблется в районе "нуля", т.е. он практически ничем не "озадачен"; файл подкачки - аналогично...
На вставленную "флешку" реагирует также долго.. Однако, через диспетчер задач AVZ запустился сразу же; логи были составлены также относительно быстро(в то время, как система ещё пыталась прогрузиться...).
В папке Карантин появились новые файлы(подозреваю, что та же программка klwk.com) - выслал:
Файл сохранён как 100115_201609_2010-01-15ver2_4b50a2d9a2685.zip
Размер файла 339047
MD5 79ce9bc8f1e09a19e5db4d7de8bf3c94
Вот новые логи:
Установил сейчас антивирус Касперского 6 по-новой: пока всё в полном порядке: в конце установки компьютер перезагрузился по требованию программы; после перезагрузки - всё пучком
Последний раз редактировалось Hamrad; 09.04.2010 в 10:04.
-
Ничего подозрительного не видно.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Спасибо большое за помощь!
Про 3-й Service Pack пользователю уже сказал в самом начале
Система продолжает, порой очень сильно, подтормаживать. Касперский настроен, обновлён..
И всё же, непонятно, каким образом смогло данное вредоносное ПО проскользнуть мимо такой серьёзной преграды?.. Тот же самый Packed.Win32.Krap.w уже сравнительно давно определяется KAV... Кстати, не заметил на данном компьютере "привычный" для такого заражения sdra64.exe..
-
Нет в природе антивируса, который защитит от всего . Ограниченная в правах учетная запись для выхода в интернет, установленные своевременно обновления и надежные источники для устанавливаемых программ - и риск попадания такой заразы сведется к минимуму
-
-
Junior Member
- Вес репутации
- 55
Спасибо вам, тов.Vegas и вам, тов.Bratez!
Забыл совсем сказать: невозможно стало загрузиться в Безопасном Режиме: при нажатии F8 - DOS-овское окошко с предложением выбора диска, с которого произойдёт загрузка.. Выполнение в AVZ команды:
Код:
begin
ExecuteRepair (10);
RebootWindows (true);
end.
ни к чему не приводит...
-
Сообщение от
Hamrad
при нажатии F8 - DOS-овское окошко с предложением выбора диска, с которого произойдёт загрузка..
А раньше не так было?
Это особенность биоса вашей материнской платы. Не слишком удачный выбор клавиши для вызова списка загрузочных устройств... Но ничего страшного: выбираем свой жесткий диск, жмем Enter и снова клацаем по F8!
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\nsreg.dat:xlwlfc - Packed.Win32.Krap.w ( BitDefender: Trojan.Generic.2964109, AVAST4: Win32:Rootkit-gen [Rtk] )
-