-
Junior Member
- Вес репутации
- 54
Очередная борьба с Internet Security.
В очередной организации компьютер снова заразился вымогателем, второй раз попадается Internet Security.
Пошел по проторенному пути.
Загрузился с DrWeb LiveCD, с помощью его MC почистил все Temp, временные файлы IE, куки, корзину, восстановление системы.
Загрузился с WinLiveCD. Установил AVPTool.
(кто может подсказать-почему при такой установке в процессе установки AVPTool несколько раз ругается, что установка не может быть выполнена, но при нажатии на ОК идет дальше, устанавливается и работает. Хотя вот полноценно ли работает?)
Проверил все диски. Был найден только ОДИН файл cmod.exe в папке Download с вирусом Hoax.Win32.Delf.b
После загрузки в нормальном режиме и попытке зайти в папку AVZ компьютер выключился.
После перезагрузки обнаружил в папке AVZ отсутствие запускающего файла.
Записал на ПК переименованную папку с переименованным AVZ.
Запустил,-такого еще не видел ни разу. Все менюшки в AVZ набором цифр и вопросов.
При повторном запуске его выскочил экран вируса.
Значит гадость живая и действует...
В защищенном режиме запуск переименованного AVZ вызывает экран вируса.
Полиморфный AVZ также вызывает появление экрана вируса.
Из всех моих случаев это самый сложный.
В нормальном режиме включаются отображение скрытых и защищенных файлов (до выхода из папки), любимого sdra64.exe не обнаружил.
Пришлось подбирать код на http://av.demozone.ru/
После подбора кода и перезагрузки запустился в нормальном режиме, запустил переименованный AVZ с переименованной папки.
Сделал логи им и всеми другими программами.
HijackThis запустился с двумя ошибками. GMer не запускается.
Выкладываю. Жду помощи.
ПК конечно был заражен ужасно....)
Есть файлы карантина...
И файл virusinfo_cure.zip
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
Уважаемые Гуру!
Хвала Вам за помощь! Мы понимаем Вашу занятость...
Но очень бы хотелось по возможности расширить Ваши ряды и ускорить помощь, чтобы мы, потерпевшие, не ждали по несколько часов.
Иначе это лечение растягивается на несколько суток...
Добавлено через 1 час 41 минуту
Знатоки! Неужели настолько сложный случай?
(количество просмотров файлов увеличивается...количество советов стремиться к нулю...)
Добавлено через 1 час 8 минут
Специалисты! Плиз! Время идет, ПК выключен, работа стоит....
Нужели все спасовали?
(конечно format C: -самое действенное лекарстово...)) )
Последний раз редактировалось Lqaz; 19.01.2010 в 22:17.
Причина: Добавлено
-
Ничего подозрительного не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Давайте я выложу карантин и virusinfo_cure.zip
Добавлено через 2 часа 34 минуты
Карантин выкладывать и virusinfo_cure.zip ?
Т.к. ведь Gmer запускается, проходит немного стандартную проверку и вываливается с ошибкой.
Добавлено через 38 минут
Братцы! Ну помогите кто-нить...
Компьютер нужен на работе позарез, а чистый он или нет неизвестно....
Последний раз редактировалось Lqaz; 20.01.2010 в 10:01.
Причина: Добавлено
-
1. В реестре есть блокировка Нода.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{b9f0fb08-846e-4d52-8e11-ab46538dbe7e}\C:\Program Files\ESET
Это надо зачистить.
2. Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\Documents and Settings\Просто так\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Удалить задание в "Планировщике"
3. В Хиджаке - Config... -- Misc Tools.. -- Open ADs Spy -- сделать лог.
4.Повторить станд скрипт №2, прислать лог.
Последний раз редактировалось PavelA; 20.01.2010 в 11:57.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Понятно. Т.е. удлить эту ветку?
А как насчет карантина?
Все равно там что-то есть еще наверно.
Может посмотришь?
Сам карантин знаю куда выложить, а куда выкладывать virusinfo_cure.zip ?
-
а куда выкладывать virusinfo_cure.zip -- По красной ссылке загрузите.
Я верхнее письмо дописал.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
на данный момент на машине нет такой ветки HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows
Есть HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsNT
в ней дальнейшего пути (Safer\CodeIdentifiers\0\Paths\{b9f0fb08-846e-4d52-8e11-ab46538dbe7e}\C:\Program Files\ESET) тоже нет.
Добавлено через 1 минуту
Но NOD действительно при запуске ПК не запускается.
Последний раз редактировалось Lqaz; 20.01.2010 в 11:19.
Причина: Добавлено
-
сделаем так. AVZ - Файл - Восст системы -- п.6 отметить и выполнить.
После этого должен запуститься НОД.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Скрипт выдает ошибку
Undeclared identifier "SetAVPM" в позиции 4:9
Выслал карантин два файла
Добавлено через 10 минут
Удалил левые задания в планировщике.
Выполнил п.6 (не помогло, НОД не запускается при перезапуске. В ручную запускается. Хотя надо посмотреть в процессах, возможно просто значка нет. Попробую переустановить его).
До этого уже сам выполнял почти все пункты Восстановления кроме сетевых.
Добавлено через 18 минут
После переустановки НОД запускается.
жду исправления скрипта.
Последний раз редактировалось Lqaz; 20.01.2010 в 11:55.
Причина: Добавлено
-
Надо поискать:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
Скрипт поправил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
3. В Хиджаке - Config... -- Misc Tools.. -- Open ADs Spy -- сделать лог.
При нажатии на кнопку Scan в Open ADs Spy сканирование происходит мгновенно, при наатии на save log ничего никуда не записывается (программу запускаю с корня диска С. Но она ругается, что типа нельзя запускаться с Темп)
Выкладываю обычный лог с Хиджака.
Указанной ветки в реестре нет.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 54
-
В карантин файл с обычным подозрениеи AVZ, оно скорее всего левое.
Добавлено через 1 минуту
{b9f0fb08-846e-4d52-8e11-ab46538dbe7e} - вот такой код в реестре поищи.
Проверить еще надо содержимое вот этого ключа:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Последний раз редактировалось PavelA; 20.01.2010 в 12:29.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Хорошо поищу.
И вот что-после выполнения скрипта и перезагрузки винда нашла новое неопознанное устройство. Дрова конечно не нашла. Так и висит желтым в неизвестных.....
-
Это нормально, драйвер AVZ. Можно, кстати, удалить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Код в реестре не нашелся именно такой полностью.
В указанной ветке есть куча подветок. Весьма странных.
Выкладываю кусок реестра.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Нет. Тут про Нод ничего нет.
По коду {b9f0fb08-846e-4d52-8e11-ab46538dbe7e} в реестре искал?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
В корне диска С есть два странных файла Iotmrd.sys и ntuser.dat
Удалил, перегрузил, вроде все нормально.
Добавлено через 2 минуты
Искал...нет такого.
Да НОД уже переустановил, нормально запускается.
Добавлено через 5 минут
А последний лог AVZ нормальный?
Не могу включить языковую панель. Никаких сторонних ПО заменяющих ее не стоит.
В Панель управления-Языки и стандарты-Языки-подробнее-кнопка Языковая панель не активна.
Последний раз редактировалось Lqaz; 20.01.2010 в 13:20.
Причина: Добавлено
-
[CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE - такой в автозапуске есть?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-