И снова Internet Security...

**Alexey_75** · 29.01.2010, 11:25

Всем доброго дня!

Снова по сабжу. Но, если в прошлый раз я с ним справился при помощи изменения имён HiJackThis и AVZ на типа "vjdkc", снял логи, прибил всё ненужное в реестре, разблокировалась запись на диск и мне удалось сделать логи АВЗ, то сейчас - не тут-то было! АВЗ с кривым именем запускается, но все надписи, кнопки, подписи и меню имеют вид типа [?639?] и ничего не работает. HiJackThis работает, но глаза протёр, никакого криминала не увидел. Запись Disable RegEdit не удаляется. По поводу АВЗ, может быть такое из-за того, что не запускается alg.exe?
Вообщем, что делать - низнаю. Профи - подскажите. Единственный лог - в атт.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 29.01.2010, 11:37

Пофиксите в HijackThis:

O20 - AppInit_DLLs: C:\WINDOWS\Cursors\sizewe.ani:ABeqYA

Перегрузите компьютер и попробуйте сделать логи по правилам.

**Alexey_75** · 29.01.2010, 11:47

Aleksandra, Этот ключ я прибил, не помогает...

Добавлено через 4 минуты

Я понял, почему у АВЗ такой странный вид! На комп с флешки НЕ копируется содержимое папки Base!!! Даже если переименовать папку, всё равно не копируется.

**Aleksandra** · 29.01.2010, 11:54

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\Cursors\sizewe.ani:ABeqYA:$DATA','');
 DeleteFile('C:\WINDOWS\Cursors\sizewe.ani:ABeqYA:$DATA');
BC_ImportDeletedList;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=69210

4. Сделайте логи по правилам.

**Alexey_75** · 29.01.2010, 12:01

Aleksandra, Скопировал через BootCD папку Base. Теперь, при попытке запустить АВЗ (с любым именем), запускается Internet Security, а АВЗ - нет. Вкладка "восстановление системы" отсутствует.

**Aleksandra** · 29.01.2010, 12:18

1. Загрузитесь в безопасном режиме.
2. Запустите HijackThis.
3. Выберите Open the Mics Tool section и далее Delete a file on reboot.
4. Найдите и удалите

C:\WINDOWS\Cursors\sizewe.ani:ABeqYA

5. Перегрузите машину и попробуйте сделать логи.

**Alexey_75** · 29.01.2010, 12:44

Aleksandra, запустил бутСД и переименовал в sizewe21.ani. AVZ запустился, сейчас делаю логи. файл вышлю в карантин.

**Alexey_75** · 29.01.2010, 14:27

Выключали свет....
Сделал логи, в атт.

**Alexey_75** · 29.01.2010, 15:01

Файл сохранён как 100129_143539_Quarantine_4b62c80bb4ae5.zip
Размер файла 123010
MD5 88858cd84e494a6958d3c482fd187800

Добавлено через 25 минут

Перезагрузился в обычном режиме, вот что осталось:
1. Диспетчер задач отключён администратором;
2. Не запускается антивирус изза политики ограничения запуска программ.
3. Отсутствует вкладка "восстановление системы"

**Alexey_75** · 29.01.2010, 15:39

по п.1,2,3 выполнил скрипт (возможно, по-дилетантски...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Всё заработало!

Последние логи в атт.
А, ещё прибил в реестре, везде где нашёл, ссылки на sizewe.ani

**Aleksandra** · 29.01.2010, 19:18

C:\WINDOWS\Cursors\sizewe21.ani:ABeqYA:$DATA - Trojan.Win32.DieMast.jnd (KIS)

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\sizewe.ani:ABeqYA', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
end.

Повторите лог virusinfo_syscheck.

**Alexey_75** · 04.02.2010, 20:39

Александра, я прошу прощенья, но "не долеченный" компутер уже вне моей досягаемости. Какбы там нибыло, благодарю за помощь.

Тема закрыта.

**CyberHelper** · 05.02.2010, 20:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\cursors\sizewe21.ani:abeqya:$data - Trojan.Win32.DieMast.jnd ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Bredolab-BR [Trj] )

И снова Internet Security... (заявка № 69210)

Опции темы

И снова Internet Security...

Итог лечения

Похожие темы

и снова Internet Security

Снова Internet Security

И снова Internet Security

Internet security снова

Снова Internet Security

Ваши права в разделе