08.01.2010, 21:35 | #1 (ссылка) |
Новичок
Регистрация: 08.01.2010
Сообщений: 5
Репутация: 0
|
Вирус "Internet security"
После загрузки системы внезапно стали выскакивать сообщения вида "an unhandled win32 exception occured", после чего отключился диспетчер задач, а при запуске любой программы активизировался баннер, очень похожий на соответствующий описанной здесь вредоносной программы eKAV, только в заголовке название "антивируса" - "Internet Security antivirus", после чего включался таймер обратного отчета и предлагалось ввести код активации. После подбора ключа активации (согласно описанию вот здесь http://pchelpforum.ru/f26/t18442/2/#post142666) система вроде разблокировалась, но хотелось бы убедиться, что система чистая. Касперский никаких вирусов не находит.
Помогите, пожалуйста! Просканировала винт AVZ, лог прилагаю: http://exfile.ru/75956 |
08.01.2010, 22:52 | #3 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
azmandius,
Выполните еще лог в hijackthis http://pchelpforum.ru/f26/t6442/#post37758 |
08.01.2010, 23:22 | #5 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
azmandius,
запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующую строчки: Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\userini.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(16); RebootWindows(true); end. После перезагрузки в этой версии http://exfile.ru/75765 avz выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip |
10.01.2010, 00:35 | #8 (ссылка) |
Новичок
Регистрация: 08.01.2010
Сообщений: 5
Репутация: 0
|
01pump,
Готово, вот новый лог: http://exfile.ru/76257 |
Ads | |
13.01.2010, 14:16 | #11 (ссылка) |
Новичок
Регистрация: 13.01.2010
Сообщений: 10
Репутация: 0
|
Internet Security
Споймал этот вирус. Код подобрал как описано тут http://pchelpforum.ru/f26/t18442/2/#post142666
Дальше всё заработало. Запустил AVZ - он ничего не нашел. Вот лог http://exfile.ru/77316 Если есть возможность, помогите локализовать угрозу. |
13.01.2010, 16:02 | #12 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Grizzly000, Запустите AVZ В меню Файл-Выполнить скрипт В окошко вставьте текст:
Код:
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\Temp\w_w25A7.tmp'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end. Последний раз редактировалось Гризлик; 13.01.2010 в 16:18. |
13.01.2010, 17:17 | #13 (ссылка) |
Новичок
Регистрация: 13.01.2010
Сообщений: 10
Репутация: 0
|
Сделал, вот virusinfo_syschek.zip http://exfile.ru/77365
На всякий случай вот лог от HijackThis http://exfile.ru/77366 |
13.01.2010, 17:54 | #14 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Grizzly000, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin ExecuteRepair(6 ); ExecuteRepair(16 ); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|