Internet Security

Printable View

16.07.2010, 11:59
ArcticFlame

Internet Security

Появляется баннер, требующий отправить смс, причем появляется, как в обычном режиме, так и в безопасном.:O Пробовал запустить CureIt, бесполезно, да и вообще ни одна программа не запускается, соответственно логи Hijackthis и AVZ сделать тоже не получается...помогите пожалуйста:(
16.07.2010, 12:04
DefesT

Здравствуйте. У Вас есть возможность скачать на другом ПК образ диска [B]ERD Commander[/B] и записать его на болванку?
16.07.2010, 12:10
ArcticFlame

ERD Commander? Да без проблем, нужно только найти образ...буду искать, впрочем от ссылки не отказался бы.:D
p.s. грустное видео. Парня не вернуть, но хотелось бы верить, что справедливость восторжествует...
16.07.2010, 12:26
polword

[URL="http://213.134.203.230/lj_pics/okeah/www/soft/"]тут [/URL]попробуйте
16.07.2010, 12:33
DefesT

- Скачайте образ диска [B]ERD Commander[/B]
- Запишите образ на болванку и загрузитесь с этого диска
- Далее: Пуск - Выполнить - erdregedit - enter
и смотрим в реестре ветку:

[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
с параметрами

[CODE]shell[/CODE]

[CODE]userinit[/CODE]

Содержимое этих параметров напишите в своем сообщении
16.07.2010, 14:02
ArcticFlame

shell
[CODE]Explorer.exe rundll32.exe ovjp.fbo tklvr[/CODE]userinit
[CODE]C:\WINDOWS\system32\userinit.exe,[/CODE]
16.07.2010, 14:08
polword

- оставьте в параметре [B]shell[/B] значение [B]Explorer.exe[/B]
- загрузитесь в обычном режиме
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
16.07.2010, 14:57
ArcticFlame

Commander не хочет флэшку читать, т.е. он ее вообще не видит в "my computer"...такая проблема.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Когда вставляю флэшку она даже не мигает. Commander не поддерживает USB?

[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]

Получилось переписать AVZ, Hijackthis и каспера через зараженный windows, но в коммандере ни один из них не запустился. В частности инсталлятор HiJackThis.msi выдал такое сообщение
[CODE]No application is associated with files of this type[/CODE]:?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Хотя может потому и не запускаются, что скопированы через WINDOWS, экзешник AVZ вообще не переписался:(
16.07.2010, 15:22
thyrex

Проверьте еще это с ERD Commander

[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]
Содержимое этого параметра напишите в своем сообщении
16.07.2010, 15:39
ArcticFlame

AppInit_DLLs:
[CODE]C:\DOCUME~1\User\LOCALS~1|Temp\tfjsvn.dll[/CODE]
16.07.2010, 16:19
DefesT

удалите из AppInit_DLLs:
[CODE]C:\DOCUME~1\User\LOCALS~1|Temp\tfjsvn.dll[/CODE]
16.07.2010, 16:22
ArcticFlame

Удалил...ничего взамен прописать не надо?
16.07.2010, 16:34
thyrex

Нет, не нужно. Пробуйте загружаться в обычном режиме
16.07.2010, 16:38
ArcticFlame

:D. AVZ запустился...делаю логи.
17.07.2010, 23:15
ArcticFlame

Логи готовы...Жду комментов.
18.07.2010, 00:14
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
QuarantineFile('C:\Documents and Settings\User\sxs32.exe','');
DeleteFile('C:\Documents and Settings\User\sxs32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
18.07.2010, 13:50
ArcticFlame

Новые логи готовы...
18.07.2010, 14:09
ArcticFlame

Карантин прислал, вот ссылка на тему
[COLOR=DeepSkyBlue][URL]http://virusinfo.info/showthread.php?t=83187[/URL]

[COLOR=Black]файл сохранен как
[/COLOR][/COLOR][CODE]100718_140547_virus_4c42d1fbdf38d.zip[/CODE]MD5
[CODE]b30689c64eb7184e5860d2d08ae098e9[/CODE]
18.07.2010, 15:38
thyrex

Плохого не видно

Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
18.07.2010, 20:14
ArcticFlame

До того как я сделал последние стандартные логи не работал диспетчер задач и отсутствовала вкладка восстановления системы, но сейчас все работает, да и вся система работает стабильно, даже антивирусник заработал:D. так или иначе, лог MBA прилагается.
18.07.2010, 20:29
ArcticFlame

Немного не в тему, но как наверное видно из лога-исцеляемый компьютер-ноутбук, и у него есть особые функциональные кнопки, так вот на тачпаде есть специальная область для прокрутки, выполняющая роль колесика мышки, и она не работает...она перестала работать до Internet Security?, но мне почему0от кажется что это тоже вызвано каким-то зловредом... во всяком случае я все настройки облазил и не нашел причины отказа вышеуказанной функции, причем в EDR Commander, она работает...
18.07.2010, 21:08
thyrex

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\dmusic32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
19.07.2010, 10:19
ArcticFlame

Скрипт выполнен без ошибок, но карантин пустой:?

[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]

Я заархивировал запрошенные файлы вручную

[CODE]Файл сохранён как 100718_225626_virus_4c434e5a35ba0.zip
Размер файла 72988
MD5 3906b195106232b6a16c8c4a41fa520a[/CODE]

Ума не приложу почему скрипт не выполнился. Антивирусник выгружен, автоматическое восстановление отключено...не понимаю

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 19 минут[/I][/B][/color][/size]

Жду комменты...
19.07.2010, 12:27
polword

файлы в карантине чистые.
19.07.2010, 14:25
ArcticFlame

система работает стабильно. Раз карантины чистые, то...спасибо за помощь всем кто принимал участие.:D
19.07.2010, 14:45
polword

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
09.08.2010, 14:09
ArcticFlame

Скрипт и все рекомендации выполнил. Система работает полностью стабильно. Спасибо всем кто принимал участие:094:
10.08.2010, 14:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]