Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Борьба с Internet Security (заявка № 67452)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54

    Question Борьба с Internet Security

    Поймали на работе новую заразу Internet Security.
    При включении компьютера выскакивает окно отсчета времени до выключения как на старом давно забытом вирусе.
    При попытке чего либо запустить делает "сканирование" ПК и выдаёт "отчёт об ошибках" затем просит денег через СМС на номер 4460 с кодом K204114200.
    Родной NOD видимо был убит.
    Загрузился с WinLiveCD, установил с защищенной флэшки AVPTool, проверил компьютер. Нашел несколько EXE в TEMP папке и уже знакомый SDRA64.EXE
    Убил их всех. Удивило, что не нашел ни одной библиотеки.
    Почистил руками все куки и временные папки IE. Также почистил все точки восстановления.
    Загрузился в защищенном режиме. При попытке запустить AVZ, комп перегружается и убивается avz.exe.
    Переименовал папку AVZ и его запускающий файл. Теперь AVZ успевает только запуститься и комп уходит на перезагрузку.
    Запустился с DrWeb LiveCD. Проверил полностью-ничего не нашел.
    (при заражении двух предыдущих ПК подобными, но разными вымогателми эта антивирусная программа также ничего не видела и не лечила. Зачем ее вообще использовать?)
    При попытке подобрать код на http://virusinfo.info/deblocker/, выдается два 4-х значных числа в две строки. Ни в каких комбинациях они не подходят.
    Запустился опять с WinLiveCD. Проверяю снова AVPTool.
    Проверил весь ПК. Девственная чистота. Ни одного вируса.
    При попытке запустить AVZ с переименованной папки с переименованного файла и расширения pif, успевает появиться оболочка AVZ и компьютер перегружается. (вирусо писаки не спят и читают ваш форум...)) )
    Взял коды с http://av.demozone.ru/, пойду пытаться разблокировать заразу.
    С помощью запуска Winamp добился срабатывания вируса, подобрал код из списка, вирус сказал "Ждите" и комп перегрузился.
    Далее ничего не делая, перегрузил его сам и зашел в защищенном режиме. Запустил переименованный AVZ. Выполнил скрипт 3.
    Перегрузился. Выполнил скрипт 2.
    Запустил HijackThis. Собрал данные.
    Запустился от греха подальше с Drweb LiveCd и хотел в MC записать файлы на флэшку. Почему то записалось с нулевой длинной. Пришлось рисковать флэшкой и записывать в защищенном режиме. Файл карантина был пуст.
    Выкладываю.
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    Более ничего не вижу. Логи нужны в норм. режиме.
    Можно попробовать в нормальном сделать лог при помощи GetSystemInfo с сайта Касперского.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Пофиксил в Защищенном режиме (уже был запущен в этом режиме). Перегрузился в нормальном режиме. Выполнил скрипт 3, перегрузился, выполнил скрипт 2.
    Выполнил лог HijackThis.
    Выполнил лог утилиты GetSystemInfo.
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.

  5. #4
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Проверил основные программы.
    Вроде все работает.
    Только MS Office 2003 потребовал диск, потребовал один из кабов.

    Но где же сидел или сидит еще этот вирус? Т.к. после удаления AVPTool exe-шников, проявление вируса осталось до подбора кода.....

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    ищем в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\
    и зачищаем.

    Лог Гмера сделайте на всякмй случай.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    В указанной ветке ничего нет.
    Сделал лог GMer.
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\WINDOWS\Fonts\latha.ttf:QRNluC - нашелся.
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
    QuarantineFile('  C:\WINDOWS\Fonts\latha.ttf:QRNluC ','');
    DeleteFile('  C:\WINDOWS\Fonts\latha.ttf:QRNluC ');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то попадет в карантин, то прислать.
    Лог Гмера повторить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Выполнить в GMer?

    Попробую.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить - это в AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Видимо надо выполнять в AVZ.
    Выполнил в нем.
    Не успел заметить, но была красная надпись о невозможности карантина.

    Попробую повторить скрипт.

    При повторе тоже самое.
    Убрал из скрипта перезагрузку. Прочитал.
    Ошибка картантина. Ошибка прямого чтения C:\WINDOWS\Fonts\latha.ttf:QRNluC
    В логах ничего нет. В папке карантина лежат два файла, но не в архиве.
    Сам заархивировал их. Прилагаю.

    В папке Fonts этот файл так и присутствует все равно .
    Лог GMer пока не могу прислать, программа зависла при нажатии на Save. Но сслыки на этот Font не было в окне.

    Заметил еще одну странность после выполнения этого скрипта. После перезагрузки ПК через 1-2 минуты стал шуршать финт и в трее появляется желтый щит. При попытке щелкнуть по нему мышкой ничего не происходит.

  12. #11
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Добавляю лог Gmer.
    Насчет желтого щита-заметил что над ним повляется при мышке надпись "Выполняется загрузка обновлений" . Было включено автоматическое обновление. Выключил пока.
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Помощники уже спят? )
    Последний раз редактировалось Lqaz; 16.01.2010 в 21:50.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Повторите логи по правилам.

  15. #14
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Повторю теперь только вечером.
    А в карантине, что я выложил, есть что-нибудь или нет?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Есть. Все, что хотели в карантин попало. После обеда дам ответ чистый там файл или нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Создал новые логи всеми возможными программами в нормальном режиме.

    И все же -что это за странный Font, удалился ли он, если он присутствует как файл в папке C:\WINDOWS\Fonts?
    Куда делся вирус, если в самом начале после работы AVPTool он осталя, а после подбора кода "самоуничтожился"?

    Неужели за столько времени не содано лекарстов нормальное ни от одного из китов антивирусов?
    Не все же юзеры идут к вам на форум...что же остается делать остальным? Зачем тогда нам ТАКИЕ антивирусы, если они дружно ВСЕ поголовно пропускают такую заразу?
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:13.

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Забыли про меня? ;(

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Trojan-Ransom.Win32.SMSer.uk новый по ЛК - C:\WINDOWS\Fonts\latha.ttf:QRNluC

    Я бы предложил заменить этот файл из дистрибутива.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Хорошо.
    Заменю с чистой машины.
    Но ведь в логах Gmer он больше не появляется. А в AVZ при выполнении скрипта была красная надпись. (писал выше). Получается AVZ его должен был удалить или очистить?

    Скопировал со своей машины Тоталом шрифт, на рабочей машине удалил старый шрифт и установил свой.

    Но в итоге, что там с Internet Security? Где же он все же прятался или прячется?
    Последний раз редактировалось Lqaz; 18.01.2010 в 09:54.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лог Гмера повтори. Посмотрим выжил он или нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Lqaz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Очередная борьба с Internet Security.
      От Lqaz в разделе Помогите!
      Ответов: 33
      Последнее сообщение: 22.01.2010, 09:03
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 02:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 16:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00969 seconds with 19 queries