Показано с 1 по 20 из 20.

internet security (заявка № 68694)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29

    Thumbs up internet security

    помогите избавится от этой гадости ниче не открывается, ниче не работает третьего лога нет, т.к. проверка выполняется наполовину,потогм комп гаснет просто и все

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Системное восстановление!!! Это ВАЖНО!
    - Выполните скрипт:
    Код:
    Procedure DelAppInit_DLLsByFileName(Name : string);
    var 
      AppInit_DLLs: string;
      i, j, c, s: integer;
      endSearch, found: boolean;
    begin
      if Name = '' then
        exit;
      AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
      endSearch := false;
      while not endSearch do
        begin
          found := false;
          for i := 1 to length(AppInit_DLLs) do
            begin
    	  s := 0;
              c := i;
    	  for j := 1 to length(Name) do
    	    if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
    	      begin
    	        s := s + 1;
    		if s = length(Name) then
    		  begin
    	            if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
    	             or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) 
    	             or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
    	             or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
    	              begin
    		        found := true;
    		        Delete(AppInit_DLLs, i, length(Name));
    		      end;  
    	          end;
                    c := c + 1;
    	      end
    	    else 
    	      break;		  
              if found then
    	    break;
    	end;
          if not found then
            endSearch := true;
        end;
      i := 1;
      while i < length(AppInit_DLLs) do
        begin
          if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
            if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
              begin
                Delete(AppInit_DLLs, i, 1);
                i := i - 1;
              end;
          i := i + 1;
        end;
      if copy(AppInit_DLLs, 1, 1) = ',' then
        Delete(AppInit_DLLs, 1, 1);
      if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
        Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
      AppInit_DLLs := Trim(AppInit_DLLs);
      RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\windows\KB900485.log:adefGA','');
     DeleteFile('C:\windows\KB900485.log:adefGA');
     QuarantineFile('C:\windows\system32\sdra64.exe','');
     DeleteFile('C:\windows\system32\sdra64.exe');
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     DelAppInit_DLLsByFileName('C:\windows\KB900485.log:adefGA');
     BC_ImportAll;
    ExecuteSysClean; 
     ExecuteRepair(16); {восстановление ключа запуска explorer}
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    скрипт прогнал просилка денег пока не появляется, диспетчер задач так и не работает regedit тоже, попытался сделать логи,вот что получилось virusinfo_syscure.zip virusinfo_syscheck.zip пытаюсь зайти в папку с программой, комп перегружаетсяя hijackthis.log делает лог,но когда начинает сохранять. комп перегружается ща попробую поколдовать, может получится логи вытащить

    Добавлено через 50 минут

    теперь вообще ниче не получается
    логи стащить немогу, при попытки зайти в папку с программой AVZ, комп падает, переименовываем папку, копируем только ехе-шник, через раз запускается, но ни текста, ни скриптов нету. пытаюсь просто скопировать папку Base, копирую. открываю, там пусто, просто перетаскиваешь в нее любой файл,тут же исчезает
    могу только запусть скрипт вручную, все З.ы. востановления системы, вообще закладки нету
    Последний раз редактировалось eye_stopper; 25.01.2010 в 22:24. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    1. Скачайте вот эту утилиту.
    2. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
    3. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
    Код:
    siszyd32.exe (везде на диске С)
    av_md.exe (везде на диске С)
    restorer64_a.exe (везде на диске С)
    userinit.sys (везде на диске С)
    sdra64.exe (везде на диске С)
    C:\WINDOWS\TEMP\ (удалить всё в этой папке)
    Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
    4. После этого запустите скаченный ADSSpy.exe.
    4.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
    4.2. Нажмите кнопку Scan the system for alternate data stream.
    4.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View stream contents.
    4.4. Нажмите кнопку Save to disk и сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of .....
    4.5. После этого нажмите кнопку Back и для указанных выше двух потоков однозначно нажмите кнопку Remove selected streams, удалив зловредные потоки с машины. Внимание: удалять только те потоки, которые я указал!
    4.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
    4.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно Правил (Приложение 3).
    5. После этого попробуйте загрузить систему и получить полные логи по Правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    а только такой вариант? просто нет подрукой болванки, а бежать счас некуда

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Можно винчестер снять и подключить к другой системе.

    Ладно, попробуйте скан в безопасном режиме с помощью AVPTool.
    Там же попробуйте после сканирования выполнить мои советы с п.3 по п.5.

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    получилось сделать логи больной системы. выкладываю P.s.один момент, немогу отключить восстановление системы, т.к. закладка вообще испарилась, там где она должна быть, ее теперь нету % вообще
    Последний раз редактировалось eye_stopper; 28.01.2010 в 15:56. Причина: появились свежие логи, с больной системы

  9. #8
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    up

    Добавлено через 1 час 31 минуту

    про меня не забудьте плиз? понимаю народу много ну пож-та.......
    Последний раз редактировалось eye_stopper; 28.01.2010 в 17:39. Причина: Добавлено

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Вы выполнили не то, что я просил.

  11. #10
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    да, только из больной системы, сейчас прикреплю. гляньте логи? выложенные вчера? получилось прогнать AVZ, но ниче не понял что было, т.к. в нем нет шрифтов.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Там бессмысленно что-то смотреть.
    Запустите AVPTool, полный скан с LiveCD или в безопасном режиме и пп.3-5 выше.

  13. #12
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    так я по сути это уже сделал,
    п3. - таких файлов нету
    п4. - Addspy запустил, потоки убрал, файлы выложил
    п5. - новые логи системы выложил еще вчера

    все что вы просили. сделал

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    То, что Вы выслали, уже детектируется как Krap.w, а значит - должно удаляться AVPTool. Скачайте текущую версию и запустите сканирование.

  15. #14
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    все сделал. LiveCD от Dr.Web и от касперского, система вроде ожила, но нет востановления системы, диспетчера задач и реестра. вот логи, посмотрите что осталось?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    - Выполните скрипт:
    Код:
    Function DelAppInit_DLLsByFileName(Name : string) : boolean;
    const
     RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
    var 
     AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
     n,p : integer;
    begin
     Result := false;
     Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
     Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', '  ') + ' ';
     if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
     Temp := Temp_AppInit_DLLs;
     while pos(Name, Temp) > 0 do
      begin
      Inc(p);
      Delete(Temp, pos(Name, Temp), Length(Name));
      end;
     Temp := '';
     while pos(' ', Temp_AppInit_DLLs) > 0 do
      begin
      If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
       begin
       If n > 1 then Temp := Temp + ',';
       If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
       If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
       Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
       n := 0;
       end;
      Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
      end;
     while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
     while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
     while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
     Temp_AppInit_DLLs := Temp + ',';
     Temp := '';
     while pos(',', Temp_AppInit_DLLs) > 0 do
      begin
      If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
      If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then 
      Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
      Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
      end;
     Temp_AppInit_DLLs := Temp + ',';
     while pos(',', Temp_AppInit_DLLs) > 0 do
      begin
      If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
      If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
      AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
      Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
      end;
     If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
     If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\NISSAN\WPWShell.exe','');
     QuarantineFile('C:\NISSAN\WH4Shell.exe','');
     DeleteFile('C:\NISSAN\WH4Shell.exe');
     DeleteFile('C:\NISSAN\WPWShell.exe');
     QuarantineFile('C:\windows\Fonts\wst_fren.fon:adefGA','');
     DeleteFile('C:\windows\Fonts\wst_fren.fon:adefGA');
     DelAppInit_DLLsByFileName('C:\windows\Fonts\wst_fren.fon:adefGA');
     DeleteFileMask('C:\NISSAN\', '*.*', true);
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SetAVZPMStatus(false);
     ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
     ExecuteRepair(11); {разблокировка диспетчера задач}
     ExecuteRepair(17); {разблокировка редактора реестра}
     BC_Activate;
     RebootWindows(true);
    end.
    ,

    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Обновите базы AVZ!!! Если заражённый компьютер по каким-то причинам не может связаться с Интернет, базы AVZ скачайте отсюда и распакуйте в папку ..\avz\base на заражённом компьютере, после чего перезапустите AVZ.
    - Сделайте повторные логи согласно только пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  17. #16
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    готово

  18. #17

  19. #18
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    10
    Вес репутации
    29
    вроде все работает, даже как-то пошустрее чем было спасибо огромное

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\help\msmq.chm:adefga - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
      2. c:\windows\help\msmq.chm:adefga:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
      3. c:\windows\system32\rserver30\r3god.dll - Backdoor.Win32.RAdmin.ab ( DrWEB: BackDoor.Radmin.40, BitDefender: Backdoor.Generic.71075, AVAST4: Win32:Radmin-I [Trj] )
      4. \msmq.chm.adefga.bin - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )
      5. \wst_fren.fon.adefga.bin - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )


  • Уважаемый(ая) eye_stopper, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Internet Security
      От Alaric в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 21.01.2010, 20:56
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 01:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 15:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01206 seconds with 16 queries