Показано с 1 по 20 из 20.

Internet Security (заявка № 67572)

  1. #1
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52

    Thumbs up Internet Security

    Умудрился подхватить эту гадость.
    После ввода кода, найденного в Сети, все видимые проявления вируса пропали (окно перестало появляться, все программы и службы, которые не запускались ранее, стали запускаться). Но так как честности вирусописателей я не доверяю, решил проверяться дальше.

    DrWeb запущенный из безопасного режима не нашел ничего. (Впрочем, он же, запущенный с загрузочного диска, не нашел ничего даже до ввода кода).
    AVP с загрузочного диска (уже после ввода кода) нашел две вирусные dll в windows/system32 и один hlp-файл в windows/help. Все инфицировано Packed.Win32.Krap.W. Во всех случаях сказал, что файлы неизлечимы. dll-ки на всякий случай я переименовал и переместил в другое место.

    Выполнил указанные в правилах скрипты, прикладываю к сообщению.
    Заранее спасибо за помощь.
    Последний раз редактировалось pig; 17.01.2010 в 19:22. Причина: карантин в теме - моветон

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Прикладываю лог MBAM.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Удалите в MBAM:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

    Заражено значений реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\forceclassiccontrolpan el (Hijack.ControlPanelStyle) -> No action taken.

    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
     QuarantineFile('C:\WINDOWS\system32\UnlockerHook.dll','');
    QuarantineFile('D:\Install\XP\Key\Для Sp1\update_xp_cd_key.exe','');
    QuarantineFile('D:\Install\TotalCopy\totalcopy.exe','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    в шапке Вашей темы.

  6. #5
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Первый пункт выполнил.

    Оба exe-файла с диска D я удалил еще до получения Вашего ответа, поскольку посчитал, что мне эти программы сейчас в любом случае не нужны, независимо от того вирус это или не вирус.

    А вот со скриптом возникла проблема. Он упорно выдает ошибку. Последние строчки его лога:

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

    При этом после попытки выполнения скрипта на компьютере начало твориться что-то странное. Когда я перезагрузился и воткнул обратно сетевой провод, я обнаружил, что Сеть пропала. В Сетевых подключениях появилось непонятное "1394-подключение", которого раньше не было. Удалить его нельзя. После еще одной перезагрузки, впрочем, Сеть появилась, но это подключение в списке все равно висит.

    Еще переназначилась программа обработчик текстовых файлов. У меня был назначен Aditor, но при попытке открыть текстовый файл, видимого эффекта не было, а в ProcessExplorer'e замигала чехарда из появляющихся и удаляющихся процессов, которая никак не хотела прекращаться и которую я предпочел прервать очередной перезагрузкой.

    Еще раз запустил MBAM, он по прежнему дает лишь Unlocker.exe и UnlockerHook.dll.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от Alaric Посмотреть сообщение
    В Сетевых подключениях появилось непонятное "1394-подключение", которого раньше не было. Удалить его нельзя. После еще одной перезагрузки, впрочем, Сеть появилась, но это подключение в списке все равно висит.
    http://support.microsoft.com/kb/307736/ru
    Сделайте новый лог virusinfo_syscheck.zip и лог Gmer

  8. #7
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Выкладываю логи.
    Правда, с логом gmer вышла некоторая загвоздка. Дело в том, что когда программа закончила проверять все файлы на С:, я нажал на Save и вся система повисла. При этом (я предварительно прокрутил список до конца) файлов в списке результатов не было.
    После этого я попробовал сделать проверку, отключив галку файлов (файлы проверялись около трех часов, а я не был уверен, что все опять не зависнет), и получил тот лог, который сейчас приложен.
    Попытаться проверить еще раз?
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Удалите бесполезное--TuneUp Utilities
    Кое что поправим, выполните скрипт
    Код:
    begin
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Рекомендую обновить, иначе могут быть проблемы Windows Service Pack 2 до Windows Service Pack 3, возможно потребуется активация. + установить последние обновления на ОС.
    В логе чисто, что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    TuneUp Utilities удалил, скрипт выполнил.

    Проблем видимых не наблюдается, правда, когда я эту тему создавал, их тоже не наблюдалось, просто я не мог разобраться с тем, полностью я удалил вирус или нет.

    То, что MBAM по прежнему находит Unlocker.exe и UnlockerHook.dll следует считать ложным срабатыванием?

    Я, правда, его еще раз запустил и помимо этих двух файлов он еще заявил, что опять появился зараженный ключ (который я ранее удалял):
    HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от Alaric Посмотреть сообщение
    То, что MBAM по прежнему находит Unlocker.exe и UnlockerHook.dll следует считать ложным срабатыванием?
    Вы не закачали карантин, а зря, надо бы проверить эти файлы.

    Цитата Сообщение от Alaric Посмотреть сообщение
    Я, правда, его еще раз запустил и помимо этих двух файлов он еще заявил, что опять появился зараженный ключ (который я ранее удалял):
    HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace)
    Цитата Сообщение от shapel Посмотреть сообщение
    Рекомендую обновить, иначе могут быть проблемы Windows Service Pack 2 до Windows Service Pack 3, возможно потребуется активация. + установить последние обновления на ОС.
    Если этого не сделать, Ваш ПК будет находиться под постоянной угрозой заражения.

  12. #11
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    SP3 и апдейты установил.

    Цитата Сообщение от shapel Посмотреть сообщение
    Вы не закачали карантин, а зря, надо бы проверить эти файлы.
    Как я уже писал выше, Ваш скрипт выдавал ошибку, поэтому я не мог получить эти самые файлы, чтобы их закачать.

    После обновления до SP3 запускать скрипт не пробовал. Хотелось бы уточнить, его следует запустить в том же виде?

  13. #12

  14. #13
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Прикладываю лог.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
     QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
     QuarantineFile('C:\WINDOWS\system32\UnlockerHook.dll','');
     DeleteFilemask('C:\Program Files\TuneUp Utilities 2004','*.*',true);
     DeleteDirectory('C:\Program Files\TuneUp Utilities 2004');
     DeleteFile('C:\WINDOWS\Tasks\1-Click Maintenance.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    в шапке Вашей темы.
    Последний раз редактировалось Шапельский Александр; 19.01.2010 в 23:04.

  16. #15
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Не получается выполнить первый скрипт.
    Выдается ошибка с надписью: "Failed to set data for 'DisplayName'" (то же самое, что и в прошлый раз).

  17. #16

  18. #17
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Скрипты выполнились, полученный архив закачал.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Файлы в карантине чистые, что с проблемой?

  20. #19
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    10
    Вес репутации
    52
    Проблем не наблюдается.
    Большое спасибо.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Alaric, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. internet security
      От eye_stopper в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 03.02.2010, 17:06
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 02:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 16:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00511 seconds with 18 queries