-
Junior Member
- Вес репутации
- 54
Борьба с Internet Security
Поймали на работе новую заразу Internet Security.
При включении компьютера выскакивает окно отсчета времени до выключения как на старом давно забытом вирусе.
При попытке чего либо запустить делает "сканирование" ПК и выдаёт "отчёт об ошибках" затем просит денег через СМС на номер 4460 с кодом K204114200.
Родной NOD видимо был убит.
Загрузился с WinLiveCD, установил с защищенной флэшки AVPTool, проверил компьютер. Нашел несколько EXE в TEMP папке и уже знакомый SDRA64.EXE
Убил их всех. Удивило, что не нашел ни одной библиотеки.
Почистил руками все куки и временные папки IE. Также почистил все точки восстановления.
Загрузился в защищенном режиме. При попытке запустить AVZ, комп перегружается и убивается avz.exe.
Переименовал папку AVZ и его запускающий файл. Теперь AVZ успевает только запуститься и комп уходит на перезагрузку.
Запустился с DrWeb LiveCD. Проверил полностью-ничего не нашел.
(при заражении двух предыдущих ПК подобными, но разными вымогателми эта антивирусная программа также ничего не видела и не лечила. Зачем ее вообще использовать?)
При попытке подобрать код на http://virusinfo.info/deblocker/, выдается два 4-х значных числа в две строки. Ни в каких комбинациях они не подходят.
Запустился опять с WinLiveCD. Проверяю снова AVPTool.
Проверил весь ПК. Девственная чистота. Ни одного вируса.
При попытке запустить AVZ с переименованной папки с переименованного файла и расширения pif, успевает появиться оболочка AVZ и компьютер перегружается. (вирусо писаки не спят и читают ваш форум...)) )
Взял коды с http://av.demozone.ru/, пойду пытаться разблокировать заразу.
С помощью запуска Winamp добился срабатывания вируса, подобрал код из списка, вирус сказал "Ждите" и комп перегрузился.
Далее ничего не делая, перегрузил его сам и зашел в защищенном режиме. Запустил переименованный AVZ. Выполнил скрипт 3.
Перегрузился. Выполнил скрипт 2.
Запустил HijackThis. Собрал данные.
Запустился от греха подальше с Drweb LiveCd и хотел в MC записать файлы на флэшку. Почему то записалось с нулевой длинной. Пришлось рисковать флэшкой и записывать в защищенном режиме. Файл карантина был пуст.
Выкладываю.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Более ничего не вижу. Логи нужны в норм. режиме.
Можно попробовать в нормальном сделать лог при помощи GetSystemInfo с сайта Касперского.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Пофиксил в Защищенном режиме (уже был запущен в этом режиме). Перегрузился в нормальном режиме. Выполнил скрипт 3, перегрузился, выполнил скрипт 2.
Выполнил лог HijackThis.
Выполнил лог утилиты GetSystemInfo.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.
-
Junior Member
- Вес репутации
- 54
Проверил основные программы.
Вроде все работает.
Только MS Office 2003 потребовал диск, потребовал один из кабов.
Но где же сидел или сидит еще этот вирус? Т.к. после удаления AVPTool exe-шников, проявление вируса осталось до подбора кода.....
-
ищем в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\
и зачищаем.
Лог Гмера сделайте на всякмй случай.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
В указанной ветке ничего нет.
Сделал лог GMer.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.
-
C:\WINDOWS\Fonts\latha.ttf:QRNluC - нашелся.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(' C:\WINDOWS\Fonts\latha.ttf:QRNluC ','');
DeleteFile(' C:\WINDOWS\Fonts\latha.ttf:QRNluC ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если что-то попадет в карантин, то прислать.
Лог Гмера повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Выполнить в GMer?
Попробую.
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Видимо надо выполнять в AVZ.
Выполнил в нем.
Не успел заметить, но была красная надпись о невозможности карантина.
Попробую повторить скрипт.
При повторе тоже самое.
Убрал из скрипта перезагрузку. Прочитал.
Ошибка картантина. Ошибка прямого чтения C:\WINDOWS\Fonts\latha.ttf:QRNluC
В логах ничего нет. В папке карантина лежат два файла, но не в архиве.
Сам заархивировал их. Прилагаю.
В папке Fonts этот файл так и присутствует все равно .
Лог GMer пока не могу прислать, программа зависла при нажатии на Save. Но сслыки на этот Font не было в окне.
Заметил еще одну странность после выполнения этого скрипта. После перезагрузки ПК через 1-2 минуты стал шуршать финт и в трее появляется желтый щит. При попытке щелкнуть по нему мышкой ничего не происходит.
-
Junior Member
- Вес репутации
- 54
Добавляю лог Gmer.
Насчет желтого щита-заметил что над ним повляется при мышке надпись "Выполняется загрузка обновлений" . Было включено автоматическое обновление. Выключил пока.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.
-
Junior Member
- Вес репутации
- 54
Помощники уже спят? )
Последний раз редактировалось Lqaz; 16.01.2010 в 21:50.
-
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 54
Повторю теперь только вечером.
А в карантине, что я выложил, есть что-нибудь или нет?
-
Есть. Все, что хотели в карантин попало. После обеда дам ответ чистый там файл или нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Создал новые логи всеми возможными программами в нормальном режиме.
И все же -что это за странный Font, удалился ли он, если он присутствует как файл в папке C:\WINDOWS\Fonts?
Куда делся вирус, если в самом начале после работы AVPTool он осталя, а после подбора кода "самоуничтожился"?
Неужели за столько времени не содано лекарстов нормальное ни от одного из китов антивирусов?
Не все же юзеры идут к вам на форум...что же остается делать остальным? Зачем тогда нам ТАКИЕ антивирусы, если они дружно ВСЕ поголовно пропускают такую заразу?
Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.
-
Junior Member
- Вес репутации
- 54
-
Trojan-Ransom.Win32.SMSer.uk новый по ЛК - C:\WINDOWS\Fonts\latha.ttf:QRNluC
Я бы предложил заменить этот файл из дистрибутива.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Хорошо.
Заменю с чистой машины.
Но ведь в логах Gmer он больше не появляется. А в AVZ при выполнении скрипта была красная надпись. (писал выше). Получается AVZ его должен был удалить или очистить?
Скопировал со своей машины Тоталом шрифт, на рабочей машине удалил старый шрифт и установил свой.
Но в итоге, что там с Internet Security? Где же он все же прятался или прячется?
Последний раз редактировалось Lqaz; 18.01.2010 в 09:54.
-
Лог Гмера повтори. Посмотрим выжил он или нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-