-
Junior Member
- Вес репутации
- 59
последствия лечения !internet security!
добрый день
давеча словил винлокер "internet security"
на 5й ребут компа этот баннер секьюрный запускался почти сразу, заблочил таскманагер,реестр,мсконфиг... короче всё
заходы в папку с авз приводили к моментальному вырубанию компа
а любые ЕХЕ файлы - активизировали прогон "сканирования" и предложения удалить/полечить
подборы кодов ничего не дали, но зато с 4го прохода при запуске с лайв_сд АВП_ТУл нашёл таки в
C:\Documents and Settings\Alinka\Local Settings\Temp\ibsjxt.dll
и просто систем 32 :
Packed.Win32.Krap.w C:\WINDOWS\Fonts\kartika.ttf:SRH7L3+K
Packed.Win32.Krap.w C:\WINDOWS\system32\ukgefgbq.dll
Packed.Win32.Krap.w C:\WINDOWS\system32\ukgefgbq.dll Отложено
Packed.Win32.Krap.w C:\WINDOWS\system32\vykoq.dll
Packed.Win32.Krap.w C:\WINDOWS\system32\vykoq.dll Отложено
Packed.Win32.Krap.w C:\WINDOWS\system32\ukgefgbq.dll
Packed.Win32.Krap.w C:\WINDOWS\system32\vykoq.dll
Packed.Win32.Krap.w
(в предварительно запущеном сейфмоде я всё вычищал - переребутил систему - не помогло - тогда залез под лайв_сд и с 4го прохода поудалял всё
C:\Documents and Settings\Alinka\Local Settings\Temp
инфицирован Trojan.Packed.19647) - это сказал Кюрейт.
в общем, поудаляв, и полностью обновив систему виндовым апдейтером, столкнулся с тем, что рабочий стол появляется чистым - висит минуту, и после этого начинают появляться ярлыки.
а антивирь (symantec corporate 10.06) перестал запускаться, и обновляться.
далее - появляется надпись типа "память не может быть read" с разніми кодами ошибки - это если регклинером идти по реестру.
кстати реестр, таскманагер и прочее - восстановил через АВЗ, когда удалил баннер
вот.. прикладываю логи согласно правил. стоит ли дальше что-либо шаманить?
какой антивирь посоветуете, который словит этого гада ?
и вопрос - как же так он гад просачивается, если на этом компе ходят сугубо на википедию и вконтакте? просто не охотно снова возится несколько часов с этой забавкой...
установил symantec endpoint protection - а он не запускается:
"невозможно выполнить данную программу из-за политики ограничения применения програмного обеспечения.
за дополнительной информацией к админу..."
не думаю, что фулл вин.апдейт мог к такому привести - я нигде политик не настраивал.
хелп
Последний раз редактировалось JusT; 29.01.2010 в 21:53.
Причина: новые баги.. существенно
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
ФАйл -- Восст системы -- п.6 отметить и выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
шикарная форма появилась. спасибо.
политики пофиксились (я там отметил больше половины на всякий случай)
загрузка раб.стола почти нормальная.
а что с логами ? там чисто?
и - как уберечься от этих винлокеров в дальнейшем?
существует ли защита именно от них?
-
Для зачистки:
Код:
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Fonts\kartika.ttf:SRH7L3+K', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
RebootWindows(true);
end.
станд скрипт №2 повторите и лог пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
постоянно находит вот єто
перехватчик spaz.sys
(установлен symanrec endpoint protection) - может єто оно ?
-
spaz.sys - детка от Даемона.
Более ничего плохого не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
т.е. можно сказать что машина чиста?
ежели так - огромное Вам спасибо
PS профилактики от последующих заражений подобной дрянью? ибо винлокеры сейчас - больная и основная тема...