Показано с 1 по 8 из 8.

Internet Security 3 (заявка № 68813)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    10
    Вес репутации
    30

    Arrow Internet Security 3

    Друг поймал троян Internet Security. Запуск антивируса (Eset Nod32) блокировался, при запуске любого exe файла появлялось окно "вымогателя". Редактор реестра, диспетчер задач не запускались, вкладки восстановление системы не было. В "Безопасном режиме" картина аналогичная. Сдвиг даты назад не помог. Снял винт, проверил на здоровой машине утилитой AVP Virus Removal Tool, она нашла несколько троянов (точнее одного трояна, но несколько его тел, называется packed.win32.krap.w). Также были очищены папки temp. После этого утилиты AVZ, HJ заработали. С помощью утилиты AVZ разблокировал запуск антивируса, редактора реестра, диспетчер задач. Восстановил вкладку "Восстановление системы". Но некоторые сомнения все еще присутствуют. Прилагаю сделанные по Правилам логи.
    Вложения Вложения
    Последний раз редактировалось kyler; 26.01.2010 в 14:20.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\ODBCINST.INI:ax+coB','');
     DeleteFile('C:\WINDOWS\ODBCINST.INI:ax+coB');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится. Выполните второй скрипт
    Код:
    Procedure DelAppInit_DLLsByFileName(Name : string);
    var 
      AppInit_DLLs: string;
      i, j, c, s: integer;
      endSearch, found: boolean;
      
    begin
      if Name = '' then
        exit;
      
      AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
     	
      endSearch := false;
      
      while not endSearch do
        begin
          found := false;
          for i := 1 to length(AppInit_DLLs) do
            begin
    	  s := 0;
              c := i;
    	  for j := 1 to length(Name) do
    	    if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
    	      begin
    	        s := s + 1;
    		if s = length(Name) then
    		  begin
    	            if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
    	             or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) 
    	             or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
    	             or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
    	              begin
    		        found := true;
    		        Delete(AppInit_DLLs, i, length(Name));
    		      end;  
    	          end;
                    c := c + 1;
    	      end
    	    else 
    	      break;		  
              if found then
    	    break;
    	end;
          if not found then
            endSearch := true;
        end;
    
      
      i := 1;
      while i < length(AppInit_DLLs) do
        begin
          if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
            if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
              begin
                Delete(AppInit_DLLs, i, 1);
                i := i - 1;
              end;
          i := i + 1;
        end;
    
      if copy(AppInit_DLLs, 1, 1) = ',' then
        Delete(AppInit_DLLs, 1, 1);
      if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
        Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
    	
      AppInit_DLLs := Trim(AppInit_DLLs);
    
      RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
    end;
    
    begin
      DelAppInit_DLLsByFileName('Name');
    end.
    Закачайте карантин по красной ссылке вверху. Лог virusinfo_syscheck повторите
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    10
    Вес репутации
    30
    Скрипты выполнил. Лог прилагаю.
    П.с. Карантин пустой
    Последний раз редактировалось kyler; 26.01.2010 в 14:46.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Выполните скрипт
    Код:
    Procedure DelAppInit_DLLsByFileName(Name : string);
    var 
      AppInit_DLLs: string;
      i, j, c, s: integer;
      endSearch, found: boolean;
      
    begin
      if Name = '' then
        exit;
      
      AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
     	
      endSearch := false;
      
      while not endSearch do
        begin
          found := false;
          for i := 1 to length(AppInit_DLLs) do
            begin
    	  s := 0;
              c := i;
    	  for j := 1 to length(Name) do
    	    if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
    	      begin
    	        s := s + 1;
    		if s = length(Name) then
    		  begin
    	            if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
    	             or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) 
    	             or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
    	             or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
    	              begin
    		        found := true;
    		        Delete(AppInit_DLLs, i, length(Name));
    		      end;  
    	          end;
                    c := c + 1;
    	      end
    	    else 
    	      break;		  
              if found then
    	    break;
    	end;
          if not found then
            endSearch := true;
        end;
    
      
      i := 1;
      while i < length(AppInit_DLLs) do
        begin
          if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
            if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
              begin
                Delete(AppInit_DLLs, i, 1);
                i := i - 1;
              end;
          i := i + 1;
        end;
    
      if copy(AppInit_DLLs, 1, 1) = ',' then
        Delete(AppInit_DLLs, 1, 1);
      if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
        Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
    	
      AppInit_DLLs := Trim(AppInit_DLLs);
    
      RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
    end;
    
    begin
      DelAppInit_DLLsByFileName('ODBCINST.INI:ax+coB');
    end.
    Лог повторите
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    10
    Вес репутации
    30
    Скрипт выполнил. Лог прилагаю

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Чисто. Какие - то проблемы на компьютере наблюдаются?
    The Truth is Out There

  8. #7
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    10
    Вес репутации
    30
    Есть потери при пинге до любых ресурсов (около 4-6%). На другом компьютере, разумеется подключенном к этому же кабелю, проблема не наблюдается...
    Не знаю, было ли так до вирусной атаки..

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Не думаю, что эта проблема связана с заражением.
    The Truth is Out There

  • Уважаемый(ая) kyler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. С начало поймал Ilite internet accselerator затем Internet Security
      От Игорь_SPB в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 13.02.2010, 13:12
    2. Internet Security
      От Alaric в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 21.01.2010, 20:56
    3. Kaspersky Internet Security 2009 удостоился максимальной оценки Matousec Transparent Security
      От Hanson в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 25.10.2008, 01:41
    4. Avira Premium Security Suite 7 vs Kaspersky Internet Security 7
      От MaxQ в разделе Антивирусы
      Ответов: 53
      Последнее сообщение: 13.04.2008, 15:17
    5. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00547 seconds with 17 queries