-
Junior Member
- Вес репутации
- 53
вымогатель успел навредить. как его добить?
ось win xp sp2
установлен аутлук аутпост.
сидел, как и все ламеры, под админом...
аутпост просигналил, что win\temp\~TM39.tmp ломится в инет. блокирую, тут же новый запрос... и нак несколько раз.
убрал окно запроса вниз, доделал пару дел.. тут буквальна секунд на 10 вылезло вымогательское окно. успел прочитать, что маскируется под Internet Security, которая поймала гадость и теперь требует смс, чтобы его уничтожить.
само закрылось, я перегрузил комп.
удалил содержимое win\temp
поискал подозрительные следы, нашел \siszyd32.exe в автозагрузке. немного потанцевав с бубном, удалил \siszyd32.exe
НО после перезагрузки:
проги не запускаются (нет прав на запуск),
закладка "восстановление системы" в свойствах системы отсутствует
на форуме обсуждалось здесь http://virusinfo.info/showthread.php?t=66833
но у меня, в отличии от автора, остаточные явления (((
остался недобитый вредитель или это он мне напакостил перед смертью?
как восстановить?
спасибо за вашу работу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ запустить не получается?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
-
Тогда пока сделайте только лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
с зараженного компа в сеть не пускает, так что пишу с другого.
вот логи рекомендованных здесь антивиров.
-
1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:
Код:
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
DeleteFile('D:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните в AVPTool скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67445
4. Сделайте новый лог исследования системы.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
скрипт сейчас запущу...
однако не могу отключить восстановление системы, т.к. закладка "восстановление системы" в свойствах системы отсутствует. как вернуть закладку?
-
Сообщение от
bear2bear
однако не могу отключить восстановление системы, т.к. закладка "восстановление системы" в свойствах системы отсутствует. как вернуть закладку?
Попробуйте такой скрипт:
Код:
begin
ExecuteRepair(6);
RebootWindows(true);
end.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
практически все проблемы побеждены за исключением:
1. в устройствах висят девайсы, которые и удалить невозможно и дрова не хотят обновляться
девайсы агнитум - оставшиеся после удаление аутпоста хвосты, которые ничем не могу сковырнуть.
2. так и не появилась закладка про восстановление системы.
из-за проблем с сетевой картой нет инета. чем бы добить эту гадость?
-
Junior Member
- Вес репутации
- 53
Сообщение от
Aleksandra
Попробуйте такой скрипт:
Код:
begin
ExecuteRepair(6);
RebootWindows(true);
end.
этот скрипт запускал. закладка "восстановление системы" не появилась.
добавка про попытку запуска "восстановления" из пуска - картинка
Последний раз редактировалось bear2bear; 16.01.2010 в 15:23.
-
Junior Member
- Вес репутации
- 53
лог на текущий момент такой
Последний раз редактировалось bear2bear; 16.01.2010 в 16:32.
-
Junior Member
- Вес репутации
- 53
доктор, меня все игнорируют )
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('d:\windows\temp\ktcaimngo.dll','');
DeleteFile('d:\windows\temp\ktcaimngo.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'd:\windows\temp\ktcaimngo.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','))
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67445
4. Выполните http://www.agnitum.ru/support/kb/art...000159&lang=ru
5. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Aleksandra
1. Отключите восстановление системы и антивирус.
именно в том и проблема, что я не могу отключить восстановление системы, т.к. в "свойствах системы" нет соответствующей закладки.
(см. предыдущий пост с принтскрином)
-
Это форма ответа такая. Пока пропустите...
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
выполнил. изменений к лучшему не произошло.
картинка с сетевыми девайсами не изменилась
прилагаю отчет
-
Junior Member
- Вес репутации
- 53
вот эти строки из отчета:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F52C7000, размер=77824, имя = "\SystemRoot\system32\DRIVERS\Rtlnicxp.sys"
не должны насторожить?
Rtlnicxp.sys - это как раз драйвер строптивой сетевой карты. может тут какой подвох?
по п.4 Ваших рекомендаций
у меня стоял Outpost Firewall Pro 2009
выполнил эту часть:
Outpost 2008/2009:
Загрузите файл clean.zip (для 32-битных версий) или clean64.zip (для 64-битных версий) и распакуйте его в папку, которую Вы можете легко найти.
Перезагрузите компьютер в Безопасный Режим. Если вы не знаете, как это сделать, прочитайте статью http://support.microsoft.com/kb/315222/ru.
Запустите распакованный файл clean.exe из папки. После окончания работы этого файла Ваш ПК автоматически перезагрузится
правильно?
-
Сообщение от
bear2bear
вот эти строки из отчета:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F52C7000, размер=77824, имя = "\SystemRoot\system32\DRIVERS\Rtlnicxp.sys"
не должны насторожить?
Нет.
Сообщение от
bear2bear
у меня стоял Outpost Firewall Pro 2009
выполнил эту часть:
Outpost 2008/2009:
Загрузите файл clean.zip (для 32-битных версий) или clean64.zip (для 64-битных версий) и распакуйте его в папку, которую Вы можете легко найти.
Перезагрузите компьютер в Безопасный Режим. Если вы не знаете, как это сделать, прочитайте статью
http://support.microsoft.com/kb/315222/ru.
Запустите распакованный файл clean.exe из папки. После окончания работы этого файла Ваш ПК автоматически перезагрузится
правильно?
Да, правильно.
Добавлено через 3 минуты
Сообщение от
bear2bear
картинка с сетевыми девайсами не изменилась
Можно попробовать в диспетчере устройств удалить оборудование, а после перезагрузки включить.
Последний раз редактировалось Aleksandra; 17.01.2010 в 23:38.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Aleksandra
Можно попробовать в диспетчере устройств удалить оборудование, а после перезагрузки включить.
не дает удалить ни одного из отмеченных воскл знаком устройств (в сейфмоде тоже)
пишет,что невозможно, т.к. они требуются для загрузки системы...
попробовал поставить аутлук заново и снести опять - не помогло.
еще как симптом - с приходом вируса появилась пауза при загрузке винды после заставки с бегунком секунд на 6-7 темнеет, потом Приветствие и далее нормально.
эта пауза в наличии до сих пор.
-
Проверку компьютера с помощью CureIt делали?
Сердце решает кого любить... Судьба решает с кем быть...
-