-
Junior Member
- Вес репутации
- 60
Помогите вылечить от "Internet Security"
Плз помогите вылечить комп от "Internet Security".
Само окно вымогателя удалось отключить и разблокировать комп - обратился к sms-провайдеру на котором висит номер 4460 (может кому еще понадобиться - (495)363-14-27(доб.555) компания www.a1agregator.ru) и мне там без лишних вопросов _бесплатно_ выдали "код активации" ...
Блокировка приложений и диспетчера задач пропала, напоминание больше не появляется, однако в безопасный режим по прежнему зайти не могу - черный экран и слева вверху постоянно мигает курсор ... Скрипт AVZ для последующего перехода в безопасный режим не помогает.
На полную проверку системы в небезопасном режиме CureIt!-ом терпения не хватило. Да и есть ли толк проверять в этом режиме?
Диагностику выполнил. Файлы прилагаю. Странно, но в AVZ в папке LOG нет архива virusinfo_syscure.zip, есть только virusinfo_cure.zip (на всякий случай прилагаю хотя бы его). Как такое может быть? И сможете ли Вы помочь без этого архива?
Плз помогите!
Последний раз редактировалось AndreyKa; 23.01.2010 в 08:37.
Причина: убрал карантин
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не видно ничего подозрительного.
Выполните процедуру, описанную в первом сообщении:
http://virusinfo.info/showthread.php?t=3519
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Сообщение от
AndyLeeC
в AVZ в папке LOG нет архива virusinfo_syscure.zip
ВОзможно из-за Outpost-а.
-
-
Лог GetsystemInfo от Касперского сделайте.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
AndreyKa
На всякий случай перед сбором файлов вырубил Outpost и вышел из инета.
Сделал, закачал:
Файл сохранён как: 100123_123631_virusinfo_files_ABNOT-SV01_4b5ac31fe2bfb.zip
Размер файла: 4987553
MD5: 15482f8af700152b4893ad3123ec098c
Последний раз редактировалось AndyLeeC; 23.01.2010 в 12:49.
Причина: добавил про Outpost
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Лог GetsystemInfo от Касперского сделайте.
У меня VirusRemovalTool. Сдалал сбор инфы о системе:
Вложение 209107
-
Junior Member
- Вес репутации
- 60
А что на счет невозможности зайти в безопасном режиме? Как вылечить?
-
Сообщение от
AndyLeeC
У меня VirusRemovalTool. Сдалал сбор инфы о системе:
Это не то.
"Безопасный режим"
Выполнить:
Код:
begin
ExecuteRepair(10);
ExecuteRepair(6);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Это не то.
А что "то"? И где его взять?
Последний раз редактировалось AndyLeeC; 23.01.2010 в 22:27.
Причина: добавил цитату
-
GetsystemInfo - утилита, лежит на сайте Касперского. Скачать, запустить.
Лог сюда прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Лог сюда прислать.
Вложение 209358
-
Junior Member
- Вес репутации
- 60
Сообщение от
AndreyKa
Уважаемый AndreyKa,
Вчера я сделал и выложил как Вы рекомендовали результаты процедуры. См. мой пост вчера 12:39.
Что-нибудь в них обнаружилось?
-
В реестре при помощи regedit ищем:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
Удаляем все, что относится к а/вирусам и Outpost
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
"Безопасный режим"
Выполнить:
Спасибо PavelA! В безопасный режим все-таки попал. Правда, ноутбук загружается в нем около 20 минут %(( что как я понимаю не совсем нормально
Два раза запускал в безопасном режиме полную проверку VirusRemovalTool. Программа нашла несколько троянов (см.аттач).
Вложение 209552
Но примерно через 1,5 часа работы происходит какой-то сбой и комп вырубается...
Чтобы это могло быть? И как все-таки довести проверку до конца?
Последний раз редактировалось PavelA; 24.01.2010 в 14:27.
-
Я выше написал, что надо сделать чтобы OutPost оживить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
В реестре при помощи regedit ищем:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
Удаляем все, что относится к а/вирусам и Outpost
У меня в реестре в папке "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t\" нет папки "Windows". Там только - SystemCertificates и больше ничего..
Добавлено через 2 минуты
Сообщение от
PavelA
Я выше написал, что надо сделать чтобы OutPost оживить.
OutPost у меня работает нормально. М.б. Вы меня с кем-то перепутали?..
Последний раз редактировалось AndyLeeC; 24.01.2010 в 14:37.
Причина: Добавлено
-
Сообщение от
AndyLeeC
Вчера я сделал и выложил как Вы рекомендовали результаты процедуры. См. мой пост вчера 12:39.
Что-нибудь в них обнаружилось?
Кроме уже удаленного "Internet Security" ничего.
Сообщение от
AndyLeeC
Но примерно через 1,5 часа работы происходит какой-то сбой и комп вырубается...
Это может быть всё что угодно. Перегрев процессора, сбой в оперативной памяти и т.д.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
AndreyKa
Кроме уже удаленного "Internet Security" ничего.
Не понял. В логах Вы обнаружили "уже удаленный "Internet Security""? Как это?
Сообщение от
AndreyKa
Это может быть всё что угодно. Перегрев процессора, сбой в оперативной памяти и т.д.
Странно как-то. Сбой подряд два раза примерно в одно и тоже время в процессе работы антивируса?
-
Сообщение от
AndyLeeC
В логах Вы обнаружили "уже удаленный "Internet Security""? Как это?
Не в логах, а в карантине. При запуске скрипта № 3, AVZ поместил в карантин подозрительные потоки:
C:\WINDOWS\inf\mdmmc288.inf:SpnMntGCnTMAOA:$DATA
C:\WINDOWS\inf\nettdkb.inf:SpnMntGCnTMAOA:$DATA
(они уже не были прописаны в автозапуск).
Я забыл написать, чтобы вы очистили карантин перед запуском скрипта №4 и поэтому они попали в автокарантин:
Сообщение от
CyberHelper
Архив 100123_123631_virusinfo_files_ABNOT-SV01_4b5ac31fe2bfb.zip, загружен 23.01.2010 12:40:34, размер 4987553 байт
Всего файлов: 20 (исполняемых 19), из них:
зловреды или опасные объекты: 2
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 12
обычный приоритет: 6
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\WINDOWS\inf\mdmmc288.inf:SpnMntGCnTMAOA:$DATA: Packed.Win32.Krap.w
C:\WINDOWS\inf\nettdkb.inf:SpnMntGCnTMAOA:$DATA: Packed.Win32.Krap.w
Сообщение от
AndyLeeC
Странно как-то. Сбой подряд два раза примерно в одно и тоже время в процессе работы антивируса?
Проверьте диск на логические ошибки.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\inf\mdmmc288.inf:spnmntgcntmaoa:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\inf\nettdkb.inf:spnmntgcntmaoa:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Rootkit-gen [Rtk] )
-