Internet Security 2

Printable View

22.01.2010, 10:28
kyler

Internet Security 2

На ноутбуке с WinXp Home SP2 схватил трояна. Окно преимущественно красных тонов с надписью "Внимание! Internet Security обнаружил вредносоное ПО на вашем компьютере. Необходимо отправить смс сообщение". Запуск любых exe файлов вызывает "псевдопроверку" системы этим самым Internet Security с нахождением вирусов :). В безопасном режиме ситуация аналогичная. AVZ, Hijack, CureIt не запускались. В биосе передвинул дату на 10 дней назад. Загрузился в безопасном режиме. CureIt вылетает на быстрой проверке, говоря что обнаружил 2 вируса и поместил их в карантин. В нормальном режиме удалось запустить HiJack и AVZ. Прилагаю логи.
22.01.2010, 11:30
PavelA

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\mrsvss.exe','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\WINDOWS\Inf\phildec.PNF:Kpo2zQFguYeE59V5zeYM');
DeleteFile('c:\windows\inf\phildec.pnf:Kpo2zQFguYeE59V5zeYM:$DATA');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Сделать заново логи.
22.01.2010, 12:48
kyler

Вложений: 3

Скрипт выполнил. Карантин выслал. Время поставил текущее. Троян больше себя не проявляет. Единственное, о чем я забыл указать в первом посте, нет вкладки восстановление системы в свойствах моего компьютера. Запрошенные повторные логи прилагаю.
22.01.2010, 12:53
PavelA

выполнить скрипт
[CODe]begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Inf\phildec.PNF:Kpo2zQFguYeE59V5zeYM', ''), ',,', ','));
RebootWindows(true);
end.[/CODe]
AVZ -- файл -- мастер поиска и устранения проблем -- Все проблемы -- отметить и выполнить.

Станд. скрипт №2 повторите. Прислать лог.
22.01.2010, 13:21
kyler

Вложений: 1

Скрипт выполнил. Мастер тоже. Лог прилагаю. Вкладка "восстановление системы" активна.
22.01.2010, 13:27
PavelA

Trojan.Win32.Agent2.cngm -- вот так зовется этот зверь теперь по классификации Касперского.

В логе чисто.
22.01.2010, 13:38
kyler

Павел. Еще вопрос. На ноуте стоит Eset Nod32. Не запускается. "Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения". Переустановка результатов не дала. В политиках ничего нет. Вообще ни одна политика не определена.

п.с. Подозреваю, что не совсем корректно, но вылечил следующим образом. Нашел с помощью AVZ в реестре ключи, в которых упоминается путь c:\program files\eset. После чего удалил соответствующий ключ из раздела HKLM\SOFTWARE\Policies\Microsoft\Windows\Safe\CodeCodeIdentifiers\0\Paths
22.01.2010, 14:20
PavelA

Да, это именно так и лечиться. Все правильно сделали. Я же просто о блокировке а/вируса не знал.
23.01.2010, 14:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\главное меню\программы\автозагрузка\siszyd32.exe - [B]Trojan.Win32.Agent2.cnfz[/B] ( DrWEB: Trojan.Packed.19599, AVAST4: Win32:Small-NFN [Trj] )[*] c:\windows\inf\phildec.pnf:kpo2zqfguyee59v5zeym - [B]Trojan.Win32.Agent2.cngm[/B][*] c:\windows\inf\phildec.pnf:kpo2zqfguyee59v5zeym:$data - [B]Trojan.Win32.Agent2.cngm[/B][/LIST][/LIST]