Показано с 1 по 13 из 13.

Вирус Internet Security (заявка № 67533)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30

    Thumbs up Вирус Internet Security

    Доброго времени суток, господа!
    Требуется Ваша помощь. Подхватил где-то смс-вымогателя Internet Security. В результате на компьютере ничего не запускается, в интернет выйти не могу.
    Загрузил комп с чистой системы, проверил утилитами от Касперского и доктора Веба, но они ничего не нашли.
    АВЗ, даже переименованный, не удается запустить, в том числе и в защищенном режиме, комп сразу уходит в перезагрузку или выключается.
    Переименованный HijackThis удалось запустить в защищенном режиме, но и здесь комп перезагружается. Хорошо, что после перезагрузки сохранился лог.
    Подскажите, что делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    1. Попробуйте узнать код разблокировки с помощью вот этого сервиса. Если код не поможет, продолжайте по следующим пунктам. Если поможет - переходите сразу к пункту 6.
    2. Скачайте вот эту утилиту.
    3. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
    4. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
    Код:
    siszyd32.exe (везде на диске С)
    av_md.exe (везде на диске С)
    restorer64_a.exe (везде на диске С)
    sdra64.exe (везде на диске С)
    C:\WINDOWS\system32\regedit.exe
    C:\WINDOWS\TEMP\ (удалить всё в этой папке)
    Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
    5. После этого запустите скаченный ADSSpy.exe.
    5.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
    5.2. Нажмите кнопку Scan the system for alternate data stream.
    5.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View stream contents.
    5.4. Нажмите кнопку Save to disk и сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of .....
    5.5. После этого нажмите кнопку Back и для указанных выше двух потоков однозначно нажмите кнопку Remove selected streams, удалив зловредные потоки с машины. Внимание: удалять только те потоки, которые я указал!
    5.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
    5.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно Правил (Приложение 3).
    6. После этого попробуйте загрузить систему и получить полные логи по Правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30
    Архив с файлами выслал.

  5. #4
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30
    Все сделал по инструкции.
    Из предложенных к удалению файлов был найден только siszyd32.exe разных модификаций.
    В папке C:\WINDOWS\system32\ файла regedit.exe не найдено. Были найдены файлы с таким именем в других папках (их необходимо удалять?).
    По пункту 5.5 - был найден только один поток, который удалил.
    После всех проведенных операций, комп перезагрузил. Удалось в нормальном режиме получить логи, но не запускается regedit (пишет что права ограничены администратором) и IE (вообще никаких сообщений), остальные проги вроде запускаются.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30
    Логи сделал. Кто-нибудь может сказать, что необходимо дальше сделать?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\Temp\NEventMessages.dll','');
     QuarantineFile('C:\Temp\mc23.tmp','');
     DeleteFile('C:\Temp\mc23.tmp');
     RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\sizens.ani:QRNluC', ''), ',,', ',')); {удаление AppInit_DLL}
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
     ExecuteRepair(11); {разблокировка диспетчера задач}
     ExecuteRepair(17); {разблокировка редактора реестра}
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).

    Учтите, что вирус, который Вы удалили может распространятся через заражённые флешки при их автозапуске

    Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
    Код:
    Windows Registry Editor Version 5.00
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
    "AutoRun"=dword:00000000
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    "NoDriveAutoRun"=dword:000000ff 
    
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
    "*.*"="" 
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
    "Start"=dword:00000004
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000FF
    "NoDriveAutoRun"=dword:000000ff
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
    "*.*"=""
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\]
    "HonorAutorunSetting"=dword:00000001
    Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

    Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.

    Проверьте и напишите, что там с проблемами.

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30
    Карантин отправил. Regedit стал запускаться, а Internet Explorer как не запускался, так и не запускается. Хотя через свойства позволяет удалять временные файлы и куки. И еще комп тормозит здорово, до заражения такого не наблюдалось.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip

    И такой вопрос: Вы пользуетесь или пытались установить софт компании Nokia? (может, что-то для подключения мобильного телефона к компьютеру?)
    Укажите, пожалуйста, какие файлы имеются в папке C:\Temp\

  10. #9
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30
    Повторный лог сделал.
    Какой-то софт компании Nokia установлен уже давно, все руки не доходят его снести.
    Содержимое папки C:\Temp\
    Arabic.bin
    Czech.bin
    Danish.bin
    Dutch.bin
    English.bin
    EverestDriver.sys
    Finnish.bin
    French.bin
    German.bin
    Greek.bin
    Hebrew.bin
    Hungarian.bin
    Italian.bin
    Japanese.bin
    Japanese.bin
    Korean.bin
    Norwegian.bin
    Perflib_Perfdata_5d0.dat
    Polish.bin
    Portuguese(Brazil).bin
    Portuguese.bin
    product_information3962.xml
    product_information4367.xml
    product_information18722.xml
    product_information30792.xml
    Russian.bin
    SimChin.bin
    Spanish.bin
    SWEDISH.bin
    Thai.bin
    TradChin.bin
    Turkish.bin
    WCESCOMM.LOG
    WCESLog.log
    WcesView.log
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    В логах ничего вредоносного не обнаружено. Что с проблемами?

  12. #11
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    15
    Вес репутации
    30
    Все работает. Сейчас буду выяснять почему тормозит интернет.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    С нашей помощью Вы нашли и удалили вирус Packed.Win32.Krap.w, а также новый вирус, который будет называться Trojan.Win32.Agent2.cngm.
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. \siszyd32.exestartup - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.cq0@auY9Uwoc, AVAST4: Win32:Bredolab-BR [Trj] )
      2. \sizen_ani_qrniuc.bin - Trojan.Win32.Agent2.cngm


  • Уважаемый(ая) Bazilio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус Internet security
      От Kot Matrosskin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.02.2010, 20:38
    2. Вирус Internet Security
      От Ganjubas74 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.01.2010, 17:41
    3. Вирус Internet Security
      От VSN в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.01.2010, 16:14
    4. Вирус Internet Security
      От *stealth* в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.01.2010, 09:04
    5. Вирус Internet Security
      От pupupupkin в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.01.2010, 11:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00523 seconds with 17 queries