-
Junior Member
- Вес репутации
- 59
Проблема с XP Internet Security 2010
Доброго времени суток. Все началось вчера вечером, было открыто несколько закаладок в браузере (около 5) и когда был на сайте одноклассники, то мой комплекс безопасности G Data Total Care 2010 показал, что заблокирован какой-то опасный скрипт и т.п. Ну я нажал как всегда ОК на информационном окошке. После чего, появилось окно с якобы новым обновлением Windows и начало что-то загружать (автобоновление Windows, у меня отключено). После небольшой загрузки появился XP Internet Security 2010 (он заменил брандаумер Windows XP SP3, я сам его никогда не ставил) и начал показательно искать на компе и находить различные вирусы (ясно что это лохотрон), после чего навязчиво начал предлагать себя купить. После отказа купить его, он полностью заблокировал работу всех приложений на компе, антивирус его не видит, он запускается файлом av.exe в дериктории C:\Documents and Settings\имя_компьютера\Local Settings\Application Data. Удалить его нельзя иначе вообще ничего не работает. При загрузке Windows появляется XP Internet Security 2010 и дальше ничего не загружается, пока не "убьешь" процесс av.exe.
Выполнить полную подготовку к диагностике AVZ, не смог, т.к. этот XP Internet Security 2010 блокировал его работу. Был оставлен рабочим AnVir Task Manager, который его блокировал.
Помогите избавиться от этого XP Internet Security 2010 и восстановить роботоспособность ОС. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\System Volume Information\_restore{19401B15-FF2E-4E46-BEC8-7C3B82C79BE0}\RP4\A0205169.dll','');
QuarantineFile('C:\System Volume Information\_restore{19401B15-FF2E-4E46-BEC8-7C3B82C79BE0}\RP4\A0184497.msi','');
QuarantineFile('C:\System Volume Information\_restore{19401B15-FF2E-4E46-BEC8-7C3B82C79BE0}\RP4\A0184495.msi','');
DeleteFile('C:\System Volume Information\_restore{19401B15-FF2E-4E46-BEC8-7C3B82C79BE0}\RP4\A0205169.dll');
DeleteFile('C:\System Volume Information\_restore{19401B15-FF2E-4E46-BEC8-7C3B82C79BE0}\RP4\A0184497.msi');
DeleteFile('C:\System Volume Information\_restore{19401B15-FF2E-4E46-BEC8-7C3B82C79BE0}\RP4\A0184495.msi');
DeleteFileMask('f:\8c8f7a497f7783fd6e199c74b1\','*.*',true);
DeleteDirectory('f:\8c8f7a497f7783fd6e199c74b1\');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Удалите Bonjour.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 59
"Отключите Антивирус и Файрвол." - без дополнительного софта, XP Internet Security 2010 невозможно "убить" и если "убить" как процесс, то он опять появляется и блокирует все программы. Попытался запустить AVZ совестно с ним (иначе никак). Смотрите логи. Но проблема не исчезла.
Неизвестное устройство появлялось и я его удалял. Bonjour - удалил. Карантин залил.
Кстати насчет этого вируса XP Internet Security 2010 я нашел инфу вот здесь, не такой он и распространненый, но проблем создает изрядно. Может поможет инфа в решении проблемы.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{19401b15-ff2e-4e46-bec8-7c3b82c79be0}\rp4\a0184495.msi - Backdoor.Win32.RAdmin.ab ( DrWEB: archive: archive: BackDoor.Radmin.54, BitDefender: Backdoor.Radmin.AB )
- c:\system volume information\_restore{19401b15-ff2e-4e46-bec8-7c3b82c79be0}\rp4\a0184497.msi - Backdoor.Win32.RAdmin.ab ( DrWEB: archive: archive: BackDoor.Radmin.54, BitDefender: Backdoor.Radmin.AB )
- c:\system volume information\_restore{19401b15-ff2e-4e46-bec8-7c3b82c79be0}\rp4\a0205169.dll - Trojan-Banker.Win32.Agent.aif ( DrWEB: Trojan.PWS.Webmonier.187, NOD32: Win32/Spy.Webmoner.NCK trojan )
-