Борьба с Internet Security

Поймали на работе новую заразу Internet Security.
При включении компьютера выскакивает окно отсчета времени до выключения как на старом давно забытом вирусе.
При попытке чего либо запустить делает "сканирование" ПК и выдаёт "отчёт об ошибках" затем просит денег через СМС на номер 4460 с кодом K204114200.
Родной NOD видимо был убит.
Загрузился с WinLiveCD, установил с защищенной флэшки AVPTool, проверил компьютер. Нашел несколько EXE в TEMP папке и уже знакомый SDRA64.EXE
Убил их всех. Удивило, что не нашел ни одной библиотеки.
Почистил руками все куки и временные папки IE. Также почистил все точки восстановления.
Загрузился в защищенном режиме. При попытке запустить AVZ, комп перегружается и убивается avz.exe.
Переименовал папку AVZ и его запускающий файл. Теперь AVZ успевает только запуститься и комп уходит на перезагрузку.
Запустился с DrWeb LiveCD. Проверил полностью-ничего не нашел.
(при заражении двух предыдущих ПК подобными, но разными вымогателми эта антивирусная программа также ничего не видела и не лечила. Зачем ее вообще использовать?)
При попытке подобрать код на [URL]http://virusinfo.info/deblocker/[/URL], выдается два 4-х значных числа в две строки. Ни в каких комбинациях они не подходят.
Запустился опять с WinLiveCD. Проверяю снова AVPTool.
Проверил весь ПК. Девственная чистота. Ни одного вируса.
При попытке запустить AVZ с переименованной папки с переименованного файла и расширения pif, успевает появиться оболочка AVZ и компьютер перегружается. (вирусо писаки не спят и читают ваш форум...;))) )
Взял коды с [URL]http://av.demozone.ru/[/URL], пойду пытаться разблокировать заразу.
С помощью запуска Winamp добился срабатывания вируса, подобрал код из списка, вирус сказал "Ждите" и комп перегрузился.
Далее ничего не делая, перегрузил его сам и зашел в защищенном режиме. Запустил переименованный AVZ. Выполнил скрипт 3.
Перегрузился. Выполнил скрипт 2.
Запустил HijackThis. Собрал данные.
Запустился от греха подальше с Drweb LiveCd и хотел в MC записать файлы на флэшку. Почему то записалось с нулевой длинной. Пришлось рисковать флэшкой и записывать в защищенном режиме. Файл карантина был пуст.
Выкладываю.

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]

Более ничего не вижу. Логи нужны в норм. режиме.
Можно попробовать в нормальном сделать лог при помощи GetSystemInfo с сайта Касперского.

Пофиксил в Защищенном режиме (уже был запущен в этом режиме). Перегрузился в нормальном режиме. Выполнил скрипт 3, перегрузился, выполнил скрипт 2.
Выполнил лог HijackThis.
Выполнил лог утилиты GetSystemInfo.

Проверил основные программы.
Вроде все работает.
Только MS Office 2003 потребовал диск, потребовал один из кабов.

Но где же сидел или сидит еще этот вирус? Т.к. после удаления AVPTool exe-шников, проявление вируса осталось до подбора кода.....

ищем в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
и зачищаем.

Лог Гмера сделайте на всякмй случай.

В указанной ветке ничего нет.
Сделал лог GMer.

C:\WINDOWS\Fonts\latha.ttf:QRNluC - нашелся.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile(' C:\WINDOWS\Fonts\latha.ttf:QRNluC ','');
DeleteFile(' C:\WINDOWS\Fonts\latha.ttf:QRNluC ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если что-то попадет в карантин, то прислать.
Лог Гмера повторить.

Выполнить в GMer?

Попробую.

Выполнить - это в AVZ.

Видимо надо выполнять в AVZ.
Выполнил в нем.
Не успел заметить, но была красная надпись о невозможности карантина.

Попробую повторить скрипт.

При повторе тоже самое.
Убрал из скрипта перезагрузку. Прочитал.
Ошибка картантина. Ошибка прямого чтения C:\WINDOWS\Fonts\latha.ttf:QRNluC
В логах ничего нет. В папке карантина лежат два файла, но не в архиве.
Сам заархивировал их. Прилагаю.

В папке Fonts этот файл так и присутствует все равно .
Лог GMer пока не могу прислать, программа зависла при нажатии на Save. Но сслыки на этот Font не было в окне.

Заметил еще одну странность после выполнения этого скрипта. После перезагрузки ПК через 1-2 минуты стал шуршать финт и в трее появляется желтый щит. При попытке щелкнуть по нему мышкой ничего не происходит.

Добавляю лог Gmer.
Насчет желтого щита-заметил что над ним повляется при мышке надпись "Выполняется загрузка обновлений" . Было включено автоматическое обновление. Выключил пока.

Помощники уже спят? ;))

Повторите логи по правилам.

Повторю теперь только вечером.
А в карантине, что я выложил, есть что-нибудь или нет?

Есть. Все, что хотели в карантин попало. После обеда дам ответ чистый там файл или нет.

Создал новые логи всеми возможными программами в нормальном режиме.

И все же -что это за странный Font, удалился ли он, если он присутствует как файл в папке C:\WINDOWS\Fonts?
Куда делся вирус, если в самом начале после работы AVPTool он осталя, а после подбора кода "самоуничтожился"?

Неужели за столько времени не содано лекарстов нормальное ни от одного из китов антивирусов?
Не все же юзеры идут к вам на форум...что же остается делать остальным? Зачем тогда нам ТАКИЕ антивирусы, если они дружно ВСЕ поголовно пропускают такую заразу?

Забыли про меня? ;(

Trojan-Ransom.Win32.SMSer.uk новый по ЛК - C:\WINDOWS\Fonts\latha.ttf:QRNluC

Я бы предложил заменить этот файл из дистрибутива.

Хорошо.
Заменю с чистой машины.
Но ведь в логах Gmer он больше не появляется. А в AVZ при выполнении скрипта была красная надпись. (писал выше). Получается AVZ его должен был удалить или очистить?

Скопировал со своей машины Тоталом шрифт, на рабочей машине удалил старый шрифт и установил свой.

Но в итоге, что там с Internet Security? Где же он все же прятался или прячется?

Лог Гмера повтори. Посмотрим выжил он или нет.

А ведь хотел сразу прикрепить. Только долго уж очень он собирается...;))

На работе еще одна машина поймала это же. Нифига NOD мышей не ловит.
Завтра начнется новая тема...;((

Выкладываю 4-й лог GMer. А в третьем логе был вирус в фонте?

Чисто в логе Гмера.

Таким образом можно считать вирус убитым?
Но, как я понял, в фонте сидел не сабж, а просто еще один вирусок.
А как вообще себя ведет сабж?
AVPTool убил его exe-шник и производные. Не увидел ни одной зараженной библиотеки и дальше спасовал. Вирус все равно где то прятался и исчез (внешние проявления) после подбора кода.
Потом в принципе хвостов вроде не было обнаружено...

По опыту борьбы с iLite Net Accelerator и iMax Download Manager они четко убивались AVPTool и больше себя не проявляли, и добивались AVZ. А тут то такого не было.

Но, как я понял, в фонте сидел не сабж, а просто еще один вирусок.
--- Он садится случайным образом на разные файлы. Кодом его деактивировали, а теперь надеюсь и добили.

Заметил глюк. Может и не связан с вирусом, но как бы устранить.
При попытке сделать вход пользователя в Windows по ХР-шному, а не по 2000-му и выборе Панель управления-Учетные записи-Изменение входа в систему. Ругается что клиент NetWare заблокировал измение способа доступа, требуется удалить клиент Netware.
Хотя такого клиента в сетевых настройках нет и никогда не было...

Попробуй таблетку №6 из Восст системы в AVZ

Не помогло...

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

Установил клиент NetWare, перегрузил, удалил, перегрузил, получил доступ к настройке пользовательского входа.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\fonts\latha.ttf:qrnluc - [B]Trojan-Ransom.Win32.SMSer.uk[/B][/LIST][/LIST]