Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

вымогатель успел навредить. как его добить? (заявка № 67445)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26

    Exclamation вымогатель успел навредить. как его добить?

    ось win xp sp2
    установлен аутлук аутпост.
    сидел, как и все ламеры, под админом...

    аутпост просигналил, что win\temp\~TM39.tmp ломится в инет. блокирую, тут же новый запрос... и нак несколько раз.
    убрал окно запроса вниз, доделал пару дел.. тут буквальна секунд на 10 вылезло вымогательское окно. успел прочитать, что маскируется под Internet Security, которая поймала гадость и теперь требует смс, чтобы его уничтожить.

    само закрылось, я перегрузил комп.
    удалил содержимое win\temp
    поискал подозрительные следы, нашел \siszyd32.exe в автозагрузке. немного потанцевав с бубном, удалил \siszyd32.exe

    НО после перезагрузки:
    проги не запускаются (нет прав на запуск),
    закладка "восстановление системы" в свойствах системы отсутствует

    на форуме обсуждалось здесь http://virusinfo.info/showthread.php?t=66833
    но у меня, в отличии от автора, остаточные явления (((

    остался недобитый вредитель или это он мне напакостил перед смертью?
    как восстановить?

    спасибо за вашу работу.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    AVZ запустить не получается?
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    получается

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Тогда пока сделайте только лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    с зараженного компа в сеть не пускает, так что пишу с другого.
    вот логи рекомендованных здесь антивиров.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните в AVPTool скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('D:\WINDOWS\system32\sdra64.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните в AVPTool скрипт:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67445

    4. Сделайте новый лог исследования системы.
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    скрипт сейчас запущу...
    однако не могу отключить восстановление системы, т.к. закладка "восстановление системы" в свойствах системы отсутствует. как вернуть закладку?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от bear2bear Посмотреть сообщение
    однако не могу отключить восстановление системы, т.к. закладка "восстановление системы" в свойствах системы отсутствует. как вернуть закладку?
    Попробуйте такой скрипт:

    Код:
    begin
    ExecuteRepair(6);    
    RebootWindows(true);
    end.
    Наша служба, будто сердце, отдыха не знает никогда.

  10. #9
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    практически все проблемы побеждены за исключением:
    1. в устройствах висят девайсы, которые и удалить невозможно и дрова не хотят обновляться
    девайсы агнитум - оставшиеся после удаление аутпоста хвосты, которые ничем не могу сковырнуть.
    2. так и не появилась закладка про восстановление системы.

    из-за проблем с сетевой картой нет инета. чем бы добить эту гадость?
    Изображения Изображения

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Попробуйте такой скрипт:

    Код:
    begin
    ExecuteRepair(6);    
    RebootWindows(true);
    end.
    этот скрипт запускал. закладка "восстановление системы" не появилась.

    добавка про попытку запуска "восстановления" из пуска - картинка
    Изображения Изображения
    Последний раз редактировалось bear2bear; 16.01.2010 в 15:23.

  12. #11
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    лог на текущий момент такой
    Вложения Вложения
    Последний раз редактировалось bear2bear; 16.01.2010 в 16:32.

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    доктор, меня все игнорируют )

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('d:\windows\temp\ktcaimngo.dll','');
     DeleteFile('d:\windows\temp\ktcaimngo.dll');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'd:\windows\temp\ktcaimngo.dll', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','))
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67445

    4. Выполните http://www.agnitum.ru/support/kb/art...000159&lang=ru

    5. Повторите лог virusinfo_syscheck.
    Наша служба, будто сердце, отдыха не знает никогда.

  15. #14
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    1. Отключите восстановление системы и антивирус.
    именно в том и проблема, что я не могу отключить восстановление системы, т.к. в "свойствах системы" нет соответствующей закладки.
    (см. предыдущий пост с принтскрином)

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Это форма ответа такая. Пока пропустите...
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    выполнил. изменений к лучшему не произошло.
    картинка с сетевыми девайсами не изменилась
    прилагаю отчет
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    вот эти строки из отчета:

    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=F52C7000, размер=77824, имя = "\SystemRoot\system32\DRIVERS\Rtlnicxp.sys"

    не должны насторожить?
    Rtlnicxp.sys - это как раз драйвер строптивой сетевой карты. может тут какой подвох?

    по п.4 Ваших рекомендаций
    у меня стоял Outpost Firewall Pro 2009

    выполнил эту часть:
    Outpost 2008/2009:
    Загрузите файл clean.zip (для 32-битных версий) или clean64.zip (для 64-битных версий) и распакуйте его в папку, которую Вы можете легко найти.
    Перезагрузите компьютер в Безопасный Режим. Если вы не знаете, как это сделать, прочитайте статью http://support.microsoft.com/kb/315222/ru.
    Запустите распакованный файл clean.exe из папки. После окончания работы этого файла Ваш ПК автоматически перезагрузится

    правильно?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от bear2bear Посмотреть сообщение
    вот эти строки из отчета:

    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=F52C7000, размер=77824, имя = "\SystemRoot\system32\DRIVERS\Rtlnicxp.sys"

    не должны насторожить?
    Нет.

    Цитата Сообщение от bear2bear Посмотреть сообщение
    у меня стоял Outpost Firewall Pro 2009

    выполнил эту часть:
    Outpost 2008/2009:
    Загрузите файл clean.zip (для 32-битных версий) или clean64.zip (для 64-битных версий) и распакуйте его в папку, которую Вы можете легко найти.
    Перезагрузите компьютер в Безопасный Режим. Если вы не знаете, как это сделать, прочитайте статью http://support.microsoft.com/kb/315222/ru.
    Запустите распакованный файл clean.exe из папки. После окончания работы этого файла Ваш ПК автоматически перезагрузится

    правильно?
    Да, правильно.

    Добавлено через 3 минуты

    Цитата Сообщение от bear2bear Посмотреть сообщение
    картинка с сетевыми девайсами не изменилась
    Можно попробовать в диспетчере устройств удалить оборудование, а после перезагрузки включить.
    Последний раз редактировалось Aleksandra; 17.01.2010 в 23:38. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  20. #19
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    17
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Можно попробовать в диспетчере устройств удалить оборудование, а после перезагрузки включить.
    не дает удалить ни одного из отмеченных воскл знаком устройств (в сейфмоде тоже)
    пишет,что невозможно, т.к. они требуются для загрузки системы...

    попробовал поставить аутлук заново и снести опять - не помогло.

    еще как симптом - с приходом вируса появилась пауза при загрузке винды после заставки с бегунком секунд на 6-7 темнеет, потом Приветствие и далее нормально.
    эта пауза в наличии до сих пор.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Проверку компьютера с помощью CureIt делали?
    Наша служба, будто сердце, отдыха не знает никогда.

  • Уважаемый(ая) bear2bear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 10.06.2012, 19:49
    2. Ответов: 2
      Последнее сообщение: 13.05.2012, 22:36
    3. Ответов: 4
      Последнее сообщение: 14.02.2012, 14:19
    4. Ответов: 1
      Последнее сообщение: 10.07.2008, 00:39
    5. Ответов: 4
      Последнее сообщение: 24.06.2008, 20:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00331 seconds with 20 queries