Показано с 1 по 8 из 8.

System Security 2009 (заявка № 49695)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    5
    Вес репутации
    31

    Question

    Уважаемые специалисты, взываю о помощи!

    Стоял НОД32 - пропустил какую-то заразу (причем, видать, не одну)...

    Симптомы следующие:
    1. Сначала НОД что-то засек и даже начал блокировать - в названиях обнаруженной заразы фигурировали абревиатуры "VBN" и "Jolee"...
    2. После перезагрузки система (XP SP2 Rus) вроде грузится в нормальном режиме - начинают загружаться в трей программки, но вместе с ними туда заскакивает желто-черно-коричневый щит, именюющий себя "System Security 2009", после чего загрузка всего остального прекращается, а ранее загруженное в трей выгружается... Затем фон сменяется на синий с мелкими серыми нулями и единицами и кучей крупных красных (Warning your`re in danger! Your computer is infected with spyware! Secure yourself right now! Remove all spyware from your PC!) и белых надписей...
    3. Затем ЭТО запускает как-бы свое "антивирусное" диалоговое окно и начинает "сканировать" систему и даже что-то "находит", после чего предлагает установить свое антивирусное ПО - естессно посылается (сетевой кабель предусмотрительно выдернут)...
    4. При этом практически ничего не возможно загрузить (из программ, сайты не пробовал)...

    Как пытался лечить:
    1. Пытался лечить CureIt-том последним, загрузившись с другой системы - он понаходил всякого-разного и даже вылечил (в названии обнаруженного вируса окончание было следующее (без кавычек) "Win32.Virut.56"... Сразу удалил все из карантина и корзины, а также повторно проверил папки с точками восстановления системы...
    2. После перезагруза и попытки войти из-под зараженной системы - та же фигня на экране;
    3. Запустил уже здесь CureIt (в надежде на очистку заразы, сидящей в памяти) - НИЧЕГО не находит (ни в памяти ни на дисках) - типа расслабься, все в порядке При этом в лоб не получается сделать статистику - загрузка всех прог блокируется: жму на исполнение - секундная задумчивость (или открытие консольного окна cureit-scan.bat, или первой страницы лицензионного соглашения хайджека) - и ничего не происходит либо само закрывается окно...

    Были предприняты следующие обходные маневры:
    1. Провел проверку последним LiveCD от Dr.Web - на второй "системе" (F) найдено несколько Win32.Virut.56 (в папке WINDOWS - все излечены) и один Win32.HLLW.Autoruner.6013 (SYSTEM VOLUME INFORMATION - удален)... При этом "зараженный" диск (C) по мнению Доктора - девственно чист...
    2. После этого был запущен KAV Rescue Disc - проверялись только 2 "системных" логических диска и папки Recycled и SVI на всех остальных дисках - иначе такими темпами неделю бы проверял (хотя оперативки 2 Гига, проц Core2Duo и винты весьма шустрые - правда все настройки проверки на максимуме)):
    а) c:\Documents and Settings\All Users\Документы\lnyxkk.exe - найден Trojan.Win32.Autoit.xp (лечение не возможно - я его удалил);
    б) с:\windows\system32\tpszxyd.sys - найден Trojan.Win32.Agent.bvzv (лечение не возможно - я его удалил);
    в) f:\SYSTEM VOLUME INFORMATION\_restore\...\RP130\A0026597.exe - найден Trojan.Win32.ConnectionServices.e (лечение не возможно - я его удалил);
    г) f:\SYSTEM VOLUME INFORMATION\_restore\...\RP130\A0026595.exe - найден Trojan.Win32.ConnectionServices.e (лечение не возможно - я его удалил);
    д) немного потенциально-опасного, вроде RAdmina, и рекламного (например, у Daemon Tools) - но это ожидаемо и в расчет не берется...

    Кроме того, меня лично смутило то, что в одной папке с п.а) и в корне нескольких дисков лежит некий исполняемый файл kns нулевого размера и вроде без расширения (иконка похожа на шестеренку) - что это и не прибить ли его от греха?

    Что было сделано дальше:
    0. Сеть отключена напрочь - вытащил кабель;
    1. Прибил а)-г);
    2. Прибил часть д)
    3. Прошерстил реестр BRD Commander-ом - удалил все связанное с "System Security 2009" - исполняемый файл C:\Documents and Settings\All Users\Application Data\12392814\12392814.exe - все из этой директории я сохранил - надо? куда направить и как обозвать архив?
    4. Проглядел автозапуск - вроде ничего подозрительного;
    5. Почистил Temp-ы, SVI и Корзины на всех дисках - правда, видать, не все;
    6. Загрузился с "зараженного" диска - все загрузилось и "System Security 2009" не появился, хотя сеть не работает напрочь (пишет что-то про отсутвие сетевых протоколов - видать вирь покоцал - как включить обратно?) и в процессе дальнейших действий НОД32 нашел пару файлов и вроде как вылечил с какой-то заразой, в названии которых опять фигурировала абревиатура VBN...
    7. Поставил 3 патча от Дяди Билла, закрывающие дыры и которые все здесь советуют поставить;
    8. Запустил cureit-scan.bat - ничего не найдено, лог прилагаю (cureit-results.cab);
    9. Запустил Хайджека - лог прилагаю (hijackthis.rar);
    10. Запустил RKU - лог прилагаю (RKU_Report.rar);
    11. Запустил GMER - лог прилагаю (gmer.rar);
    12.Отключил восстановление системы;
    13. Запустил AVZ - был найден Trojan.Win32.Koblu.to и помещен на карантин (файл virusinfo_cure.zip Вам нужен?) лог в нормальном виде (virusinfo_syscure.zip), почему-то, автоматически не получился - поэтому прилагаю сохраненный в ручную лог (avz_log.rar)... Лог с подключением к сети Интернет (virusinfo_syscheck.zip) также не получилось сделать, т.к. сетевые протоколы не работают (хоть я и воткнул для этого теста сетевой кабель обратно);
    14. Перегрузился в безопасном режиме и запустил Kaspersky Virus Removal Tool - автоматическое удаление вирусов (проверял память и диск С)... Было найдено и прибито следующее:
    а) Trojan.Win32.Koblu.to;
    б) Trojan-Downloader.Win32.DlfBfkg.fn;
    в) Trojan-Clicker.HTML.IFrame.ahj;
    г) Trojan.Win32.Vapsup.umv;
    д) Trojan.Win32.VBimay.bs;
    е) Trojan.Win32.Qhost.lsd;
    ж) Trojan.Win32.VBimay.bl - полный лог прилагаю (kav1.rar)... После этого прибил все в "резервное хранилище";
    15. Kaspersky Virus Removal Tool - ручное лечение - логи прилагаю (avptool_syscheck.zip - весьма похож на AVZ-шный лог и название такое же);
    16. Щас Kaspersky Virus Removal Tool - автоматическое удаление вирусов - проверяет все диски (проверил уже память и диск С - ничего подозрительного не нашел, на других что-то нашел, но это со слов домочадцев, оставшихся дома) - завтра проинформирую о результатах...

    Собсно что это было и убито ли окончательно (с учетом лечения в п.15)?

    С учетом знакомости всех лиц и однотипности первоначальных советов мне, видимо, следует пофиксить хайджеком, проверить АВЗ и хайджеком и выложить новые логи?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 13.07.2009 в 16:57.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Сделайте логи по правилам с помощью AVZ (virusinfo_syscheck.zip и virusinfo_syscure.zip) и Hijackthis (hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    5
    Вес репутации
    31
    Закончил сканирование (с дуру KAV RemovalTool проверил все 2 раза - по второму проходу ничего уже не нашел, т.к. я все найденное прибил в процессе или вылечил) - найдено было следующее:
    1. удалено: троянская программа Trojan-GameThief.Win32.Lmir.ceu Файл: D:\Flash\Good soft\Drive_Data_Recovery_v2.0.1.5\pendrivedatareco very.exe;
    2. удалено: троянская программа Trojan-Dropper.Win32.NeodurkJoiner.j Файл: D:\Old Vint\ARCH\SOFT\Graphics\Picture to Ico v.1.88 Setup.exe//data0003//ASPack
    3. удалено: троянская программа Trojan.Win32.Vapsup.umv Файл: D:\Новые проги\NSIS\NOD32view4_04.exe//file5
    4. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: F:\Program Files\Windows Sidebar\Gadgets\Shutdown-Reboot.gadget\shutdown-reboot.html
    5. удалено: троянская программа Trojan.Win32.Qhost.lsc Файл: F:\WINDOWS\system32\drivers\etc\hosts
    6. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Harry Potter\Орден Феникса\Support\European Help Files\EA_Help_Select.htm
    7. вылечено: вирус Virus.Win32.Virut.ce Файл: G:\Games\pg3dSE\PG3Play.exe
    8. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Блицкриг\readme.html
    9. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Блицкриг\readme_patch_12.html
    10. удалено: троянская программа Trojan-Clicker.HTML.IFrame.ahj Файл: G:\Games\Блицкриг\Manual\index.html
    11. удалено: троянская программа Trojan.Win32.KillWin.lo Файл: H:\Музыка\setup_embrobox1_3.zip/setup_embrobox_1.3.exe
    12. удалено: троянская программа Trojan-Dropper.Win32.NeodurkJoiner.j Файл: O:\f\ARCH\SOFT\Graphics\Picture to Ico v.1.88 Setup.exe//data0003//ASPack

    Затем было сделано следующее:
    1. Прибито все в папках SVI, Windows\Temp, кэш оперы (предварительно C:\WINDOWS\temp\EvID4226Patch.exe скопировал);
    2. Прибил файлы khs (везде, где нашел);
    3. Загрузился с "больного" диска в нормальном режиме;
    4. Запустил Хайджека - попытался пофиксить предложенные ранее строчки, но кнопка фикс не подсвечивается после скана (в процессе скана подсвечивается, но делать ничего невозможно - тормозит). Как быть?
    5. Сделал лог Хайджеком - прилагаю (hijackthis.rar);
    6. Сделал логи полиморфным AVZ - прилагаю, но напоминаю, что сеть пропала напрочь по неясным мне причинам - жду советов по восстановлению (virusinfo_syscheck.zip, virusinfo_syscure.zip, еще создал virusinfo_cure.zip размером 22 байта, но внутри ничего нет - нужен?);
    7. Файла C:\WINDOWS\TEMP\234515427mxx.dll на диске не обнаружил;
    8. Проверил ВирусТоталом следующие файлы (они были в раровских архивах):
    а) EvID4226Patch.exe - 11/41 (http://www.virustotal.com/ru/analisi...e9e-1247329506) - этот файл я прибил в п.1;
    б) tmp2D.tmp - 0/41 (http://www.virustotal.com/ru/analisi...a-1247329743);
    в) tmp4B.tmp - 0/39 (http://www.virustotal.com/ru/analisi...e-1247329895);
    г) wul.exe - 2/41 - ИМХО фигня (http://www.virustotal.com/ru/analisi...f01-1247330253).
    9. Запустил КК последний - все по нулям (Kido нигде не найден).

    Что дальше и как решить следующие проблемы:
    1. Невозможность пофиксить Хайджеком;
    2. Напрочь мертвая сеть во всех ее проявлениях...

    ЗЫ. Выяснил из журнала НОД32, какую дрянь он находил в разгар эпидемии в хронологическом порядке (с разницей в несколько минут): червь Win32/Joleee.NF, вирус Win32/Virut.NBP, троянская программа Win32/SpamTool.Agent.NAJ... Всю найденную дрянь НОД32 помещал в карантин - я его щас прибил, т.к. в этих файлах зараза содержалась, но не детектилась прочими антивирусами...

    Пофиксил - прикладываю лог Хайджека после фиксинга...

    Ну и чего?

    Добавлено через 4 часа 33 минуты

    Пофиксил Хайджеком O4 - Startup: is-89OR2.lnk = ? и O4 - Startup: is-IOP8U.lnk = ?

    Проверил ВирусТоталом следующие файлы (они были в раровских архивах):
    а) Ckldrv.sys - 0/41 (http://www.virustotal.com/ru/analisi...c-1247426696);
    б) Crypserv.exe - 0/41 (http://www.virustotal.com/ru/analisi...9-1247426958);
    в) DW20.EXE - 0/41 (http://www.virustotal.com/ru/analisi...c-1247427103);
    г) epfwtdir.sys - 0/41 (http://www.virustotal.com/ru/analisi...11d-1247427272).

    Чо дальше?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 13.07.2009 в 17:00.

  5. #4
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    5
    Вес репутации
    31
    Выполнил скрипт (посоветовали АВПшники - )
    Прикладываю лог Gmer после выполнения скрипта и перезагрузки...
    Вложения Вложения
    • Тип файла: rar gmer.rar (7.1 Кб, 2 просмотров)
    Последний раз редактировалось Rene-gad; 13.07.2009 в 16:59. Причина: Дальнейшую помощь получите по месту, откуда брали скрипт

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    5
    Вес репутации
    31
    Чего посоветуете?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от BlackNinja Посмотреть сообщение
    Чего посоветуете?
    Дальнейшую помощь получите по месту, откуда брали скрипт.

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2009
    Сообщений
    5
    Вес репутации
    31
    Видимо так и сделаю (ибо за 3 дня от вас ни одного ответа по делу не получено)...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от BlackNinja Посмотреть сообщение
    за 3 дня от вас ни одного ответа по делу не получено...
    Важное замечание

    Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.

  • Уважаемый(ая) BlackNinja, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Избавиться от System Security 2009
      От SHRED в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.05.2009, 16:02
    2. XP Antispyware 2009 и Windows Security Center
      От Jay_80 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:47
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 01:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00200 seconds with 17 queries