Вирус "Internet security"

azmandius · 08.01.2010, 21:35

После загрузки системы внезапно стали выскакивать сообщения вида "an unhandled win32 exception occured", после чего отключился диспетчер задач, а при запуске любой программы активизировался баннер, очень похожий на соответствующий описанной здесь вредоносной программы eKAV, только в заголовке название "антивируса" - "Internet Security antivirus", после чего включался таймер обратного отчета и предлагалось ввести код активации. После подбора ключа активации (согласно описанию вот здесь http://pchelpforum.ru/f26/t18442/2/#post142666) система вроде разблокировалась, но хотелось бы убедиться, что система чистая. Касперский никаких вирусов не находит.
Помогите, пожалуйста!
Просканировала винт AVZ, лог прилагаю: http://exfile.ru/75956

romul781 · 08.01.2010, 22:07

azmandius, не видать ничего

01pump · 08.01.2010, 22:52

azmandius,
Выполните еще лог в hijackthis http://pchelpforum.ru/f26/t6442/#post37758

azmandius · 08.01.2010, 23:12

romul781, спасибо!

01pump,
вот лог в hijackthis http://exfile.ru/75985

01pump · 08.01.2010, 23:22

azmandius,
запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующую строчки:

Код:

 
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe

и нажмите FIX checked

Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);      
 DeleteFile('C:\WINDOWS\system32\userini.exe');     
 ExecuteSysClean;      
 ExecuteRepair(6);
 ExecuteRepair(16);     
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки в этой версии http://exfile.ru/75765 avz выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

azmandius · 09.01.2010, 00:07

01pump,
вот лог после действий с hijackthis и повторного запуска avz:
http://exfile.ru/76006

01pump · 09.01.2010, 12:50

azmandius,
Выполните новый лог hijackthis

azmandius · 10.01.2010, 00:35

01pump,
Готово, вот новый лог: http://exfile.ru/76257

01pump · 10.01.2010, 12:09

azmandius,
В настоящий момент от чего еще не избавились?

azmandius · 11.01.2010, 18:00

01pump,
Пока все нормально, спасибо Вам огромное!!

Grizzly000 · 13.01.2010, 14:16

Споймал этот вирус. Код подобрал как описано тут http://pchelpforum.ru/f26/t18442/2/#post142666
Дальше всё заработало. Запустил AVZ - он ничего не нашел. Вот лог http://exfile.ru/77316
Если есть возможность, помогите локализовать угрозу.

Гризлик · 13.01.2010, 16:02

Grizzly000, Запустите AVZ В меню Файл-Выполнить скрипт В окошко вставьте текст:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\Temp\w_w25A7.tmp');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

И нажмите запустить. Произойдет перезагрузка. После перезагрузки запустите AVZ ОБНОВИТЕ БАЗЫи выполните стандартный скрипт 2 и выложите лог virusinfo_syschek.zip

Grizzly000 · 13.01.2010, 17:17

Сделал, вот virusinfo_syschek.zip http://exfile.ru/77365
На всякий случай вот лог от HijackThis http://exfile.ru/77366

romul781 · 13.01.2010, 17:54

Grizzly000, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

Код:

	R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 ExecuteRepair(6 );
 ExecuteRepair(16 );    
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека

Grizzly000 · 13.01.2010, 18:51

virusinfo_syscheck.zip - http://exfile.ru/77397
HijackThis - http://exfile.ru/77400

08.01.2010, 21:35	#1 (ссылка)
azmandius Новичок Регистрация: 08.01.2010 Сообщений: 5 Репутация: 0	Вирус "Internet security" После загрузки системы внезапно стали выскакивать сообщения вида "an unhandled win32 exception occured", после чего отключился диспетчер задач, а при запуске любой программы активизировался баннер, очень похожий на соответствующий описанной здесь вредоносной программы eKAV, только в заголовке название "антивируса" - "Internet Security antivirus", после чего включался таймер обратного отчета и предлагалось ввести код активации. После подбора ключа активации (согласно описанию вот здесь http://pchelpforum.ru/f26/t18442/2/#post142666) система вроде разблокировалась, но хотелось бы убедиться, что система чистая. Касперский никаких вирусов не находит. Помогите, пожалуйста! Просканировала винт AVZ, лог прилагаю: http://exfile.ru/75956

08.01.2010, 23:22	#5 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	azmandius, запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующую строчки: Код: O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe и нажмите FIX checked Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\userini.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(16); RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки в этой версии http://exfile.ru/75765 avz выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

13.01.2010, 14:16	#11 (ссылка)
Grizzly000 Новичок Регистрация: 13.01.2010 Сообщений: 10 Репутация: 0	Internet Security Споймал этот вирус. Код подобрал как описано тут http://pchelpforum.ru/f26/t18442/2/#post142666 Дальше всё заработало. Запустил AVZ - он ничего не нашел. Вот лог http://exfile.ru/77316 Если есть возможность, помогите локализовать угрозу.

13.01.2010, 16:02	#12 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Grizzly000, Запустите AVZ В меню Файл-Выполнить скрипт В окошко вставьте текст: Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\Temp\w_w25A7.tmp'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end. И нажмите запустить. Произойдет перезагрузка. После перезагрузки запустите AVZ ОБНОВИТЕ БАЗЫи выполните стандартный скрипт 2 и выложите лог virusinfo_syschek.zip Последний раз редактировалось Гризлик; 13.01.2010 в 16:18.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус "Trojan-Spy.Wind32.Zbot.ikh"	TulaMax71	Безопасность	1	24.11.2010 19:07
Подцепила вирус (наверное) по имени "программа........не является приложением Win 32"	Дельта	Безопасность	9	03.11.2010 02:25
Вирус "SMS с текстом 503741002815 на номер 6681"	moisnik555	Безопасность	4	15.10.2010 20:23
Как убрать значок "internet explorer" с рабочего стола	kalpak44	Windows XP	8	15.08.2010 15:35
НЕ работает кнопка "Перезагрузка", остальные "Ждущий режим"\"Выкл." в норме.	Мириам	Windows XP	0	24.03.2010 13:11
Инструкция по адресу "0x436b10f" обратилась к памяти "0x03793dac". Вирус?	skazka	Windows XP	12	23.03.2010 04:11
"Почернела" панель Internet Exporer вирус? память?...	solo081	Неисправности, настройка	10	24.02.2010 12:37
Не запускается Windows-вирус "Лабор.Касперского"	nataslawina	Безопасность	2	21.02.2010 21:31
"Антивирус" Internet Security - как с ним бороться?	Vadim A.	Безопасность	22	14.01.2010 02:39
Помогите победить вирус "Trojan-Ransom.Win32.Agent.g"	sergiosa	Безопасность	8	13.12.2009 01:09
Не работает оция """Эскизы Страниц"""	Stasok94	Неисправности, настройка	2	06.11.2009 18:40
При запуске системы выводится окно-"Не удалось запустить "Соседние пользователи""	Ирина К	Windows Vista	2	02.10.2009 15:40

08.01.2010, 22:07	#2 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	azmandius, не видать ничего

08.01.2010, 22:52	#3 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	azmandius, Выполните еще лог в hijackthis http://pchelpforum.ru/f26/t6442/#post37758

08.01.2010, 23:12	#4 (ссылка)
azmandius Новичок Регистрация: 08.01.2010 Сообщений: 5 Репутация: 0	romul781, спасибо! 01pump, вот лог в hijackthis http://exfile.ru/75985

09.01.2010, 00:07	#6 (ссылка)
azmandius Новичок Регистрация: 08.01.2010 Сообщений: 5 Репутация: 0	01pump, вот лог после действий с hijackthis и повторного запуска avz: http://exfile.ru/76006

09.01.2010, 12:50	#7 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	azmandius, Выполните новый лог hijackthis

10.01.2010, 00:35	#8 (ссылка)
azmandius Новичок Регистрация: 08.01.2010 Сообщений: 5 Репутация: 0	01pump, Готово, вот новый лог: http://exfile.ru/76257

10.01.2010, 12:09	#9 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	azmandius, В настоящий момент от чего еще не избавились?

11.01.2010, 18:00	#10 (ссылка)
azmandius Новичок Регистрация: 08.01.2010 Сообщений: 5 Репутация: 0	01pump, Пока все нормально, спасибо Вам огромное!!

13.01.2010, 17:17	#13 (ссылка)
Grizzly000 Новичок Регистрация: 13.01.2010 Сообщений: 10 Репутация: 0	Сделал, вот virusinfo_syschek.zip http://exfile.ru/77365 На всякий случай вот лог от HijackThis http://exfile.ru/77366

13.01.2010, 18:51	#15 (ссылка)
Grizzly000 Новичок Регистрация: 13.01.2010 Сообщений: 10 Репутация: 0	virusinfo_syscheck.zip - http://exfile.ru/77397 HijackThis - http://exfile.ru/77400

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)