Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Очередная борьба с Internet Security. (заявка № 67829)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54

    Thumbs up Очередная борьба с Internet Security.

    В очередной организации компьютер снова заразился вымогателем, второй раз попадается Internet Security.
    Пошел по проторенному пути.
    Загрузился с DrWeb LiveCD, с помощью его MC почистил все Temp, временные файлы IE, куки, корзину, восстановление системы.
    Загрузился с WinLiveCD. Установил AVPTool.
    (кто может подсказать-почему при такой установке в процессе установки AVPTool несколько раз ругается, что установка не может быть выполнена, но при нажатии на ОК идет дальше, устанавливается и работает. Хотя вот полноценно ли работает?)
    Проверил все диски. Был найден только ОДИН файл cmod.exe в папке Download с вирусом Hoax.Win32.Delf.b
    После загрузки в нормальном режиме и попытке зайти в папку AVZ компьютер выключился.
    После перезагрузки обнаружил в папке AVZ отсутствие запускающего файла.
    Записал на ПК переименованную папку с переименованным AVZ.
    Запустил,-такого еще не видел ни разу. Все менюшки в AVZ набором цифр и вопросов.
    При повторном запуске его выскочил экран вируса.
    Значит гадость живая и действует...
    В защищенном режиме запуск переименованного AVZ вызывает экран вируса.
    Полиморфный AVZ также вызывает появление экрана вируса.
    Из всех моих случаев это самый сложный.
    В нормальном режиме включаются отображение скрытых и защищенных файлов (до выхода из папки), любимого sdra64.exe не обнаружил.
    Пришлось подбирать код на http://av.demozone.ru/
    После подбора кода и перезагрузки запустился в нормальном режиме, запустил переименованный AVZ с переименованной папки.
    Сделал логи им и всеми другими программами.
    HijackThis запустился с двумя ошибками. GMer не запускается.
    Выкладываю. Жду помощи.
    ПК конечно был заражен ужасно....)
    Есть файлы карантина...
    И файл virusinfo_cure.zip
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Уважаемые Гуру!
    Хвала Вам за помощь! Мы понимаем Вашу занятость...
    Но очень бы хотелось по возможности расширить Ваши ряды и ускорить помощь, чтобы мы, потерпевшие, не ждали по несколько часов.
    Иначе это лечение растягивается на несколько суток...

    Добавлено через 1 час 41 минуту

    Знатоки! Неужели настолько сложный случай?
    (количество просмотров файлов увеличивается...количество советов стремиться к нулю...)

    Добавлено через 1 час 8 минут

    Специалисты! Плиз! Время идет, ПК выключен, работа стоит....
    Нужели все спасовали?
    (конечно format C: -самое действенное лекарстово...)) )
    Последний раз редактировалось Lqaz; 19.01.2010 в 22:17. Причина: Добавлено

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ничего подозрительного не видно.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Давайте я выложу карантин и virusinfo_cure.zip

    Добавлено через 2 часа 34 минуты

    Карантин выкладывать и virusinfo_cure.zip ?
    Т.к. ведь Gmer запускается, проходит немного стандартную проверку и вываливается с ошибкой.

    Добавлено через 38 минут

    Братцы! Ну помогите кто-нить...
    Компьютер нужен на работе позарез, а чистый он или нет неизвестно....
    Последний раз редактировалось Lqaz; 20.01.2010 в 10:01. Причина: Добавлено

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    1. В реестре есть блокировка Нода.
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{b9f0fb08-846e-4d52-8e11-ab46538dbe7e}\C:\Program Files\ESET

    Это надо зачистить.

    2. Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
     DeleteFile('C:\Documents and Settings\Просто так\Шаблоны\Brengkolang.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Удалить задание в "Планировщике"

    3. В Хиджаке - Config... -- Misc Tools.. -- Open ADs Spy -- сделать лог.
    4.Повторить станд скрипт №2, прислать лог.
    Последний раз редактировалось PavelA; 20.01.2010 в 11:57.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Понятно. Т.е. удлить эту ветку?
    А как насчет карантина?
    Все равно там что-то есть еще наверно.
    Может посмотришь?
    Сам карантин знаю куда выложить, а куда выкладывать virusinfo_cure.zip ?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    а куда выкладывать virusinfo_cure.zip -- По красной ссылке загрузите.

    Я верхнее письмо дописал.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    на данный момент на машине нет такой ветки HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows
    Есть HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsNT
    в ней дальнейшего пути (Safer\CodeIdentifiers\0\Paths\{b9f0fb08-846e-4d52-8e11-ab46538dbe7e}\C:\Program Files\ESET) тоже нет.

    Добавлено через 1 минуту

    Но NOD действительно при запуске ПК не запускается.
    Последний раз редактировалось Lqaz; 20.01.2010 в 11:19. Причина: Добавлено

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    сделаем так. AVZ - Файл - Восст системы -- п.6 отметить и выполнить.
    После этого должен запуститься НОД.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Скрипт выдает ошибку
    Undeclared identifier "SetAVPM" в позиции 4:9

    Выслал карантин два файла

    Добавлено через 10 минут

    Удалил левые задания в планировщике.
    Выполнил п.6 (не помогло, НОД не запускается при перезапуске. В ручную запускается. Хотя надо посмотреть в процессах, возможно просто значка нет. Попробую переустановить его).
    До этого уже сам выполнял почти все пункты Восстановления кроме сетевых.

    Добавлено через 18 минут

    После переустановки НОД запускается.
    жду исправления скрипта.
    Последний раз редактировалось Lqaz; 20.01.2010 в 11:55. Причина: Добавлено

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Надо поискать:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
    Скрипт поправил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    3. В Хиджаке - Config... -- Misc Tools.. -- Open ADs Spy -- сделать лог.

    При нажатии на кнопку Scan в Open ADs Spy сканирование происходит мгновенно, при наатии на save log ничего никуда не записывается (программу запускаю с корня диска С. Но она ругается, что типа нельзя запускаться с Темп)
    Выкладываю обычный лог с Хиджака.

    Указанной ветки в реестре нет.
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Карантин не смотрел?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В карантин файл с обычным подозрениеи AVZ, оно скорее всего левое.

    Добавлено через 1 минуту

    {b9f0fb08-846e-4d52-8e11-ab46538dbe7e} - вот такой код в реестре поищи.

    Проверить еще надо содержимое вот этого ключа:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
    Последний раз редактировалось PavelA; 20.01.2010 в 12:29. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Хорошо поищу.
    И вот что-после выполнения скрипта и перезагрузки винда нашла новое неопознанное устройство. Дрова конечно не нашла. Так и висит желтым в неизвестных.....

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это нормально, драйвер AVZ. Можно, кстати, удалить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    Код в реестре не нашелся именно такой полностью.
    В указанной ветке есть куча подветок. Весьма странных.
    Выкладываю кусок реестра.
    Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нет. Тут про Нод ничего нет.

    По коду {b9f0fb08-846e-4d52-8e11-ab46538dbe7e} в реестре искал?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    54
    В корне диска С есть два странных файла Iotmrd.sys и ntuser.dat
    Удалил, перегрузил, вроде все нормально.

    Добавлено через 2 минуты

    Искал...нет такого.
    Да НОД уже переустановил, нормально запускается.

    Добавлено через 5 минут

    А последний лог AVZ нормальный?

    Не могу включить языковую панель. Никаких сторонних ПО заменяющих ее не стоит.
    В Панель управления-Языки и стандарты-Языки-подробнее-кнопка Языковая панель не активна.
    Последний раз редактировалось Lqaz; 20.01.2010 в 13:20. Причина: Добавлено

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE - такой в автозапуске есть?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Lqaz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Борьба с Internet Security
      От Lqaz в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 19.01.2010, 12:27
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 02:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 16:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00063 seconds with 19 queries