Trojan-Ransom.win32.dummy.u

[Gillmann]

Здравствуйте! У меня стоит Касперский Антивирус 9.0.0.736 и Outpost Firewall последней версии. Оба лицензионные. Сегодня подхватил вирус, который Касперский детектировал как Trojan-Ransom.win32.dummy.u. Файл назывался userlib.dll и сидел в С:\Documents and Settings\All Users\Application Data. Для удаления файла Касперский потребовал перезагрузку системы. После перезагрузки практически на весь экран высветилось сообщение о требовании отправки смс на короткий номер, при этом это окно нельзя было ни свернуть, ни переместить. Диспетчер задач был отключен. Пуск, проводник, интернет, антивирус работали но окно мешало просматривать то, что творится на экране. У меня два монитора, поэтому я сумел переместить все невидимые окна на второй монитор. Вначале проверил систему на вирусы - Касперский ничего не обнаружил (он выругался, но только, до перезагрузки). Для разблокирования системы решил включить диспетчер задач через редактирование реестра, не помогло, тк реестр был заблокирован, попробовал razblocker, он вис при попытке включения реестра. Скачал программу cureit, как многие рекомендуют - установка программы зависала, с AVZ - аналогично. Вместо диспетчера задач скачал программу-аналог диспетчера - Process Explorer, она спокойно запустилась - завершил подозрительный процесс (файл имел расширение .tmp и рандомное имя и сидел в C:\Documents and Settings\User\Local Settings\Temp). После этого удалил этот tmp файл, с диспетчером и реестром никаких изменений не произошло. Сейчас перегрузил комп - сообщение не возникает, диспетчер задач и реестр спокойно включил с помощью программы razblocker (хотя после переустановки он все так же был выключен), все в норме, система не виснет и на первый взгляд проблем никаких. Понятно, что вируса на компе уже нет, поэтому при очередной проверке системы Касперский ничего не выявил. У меня вопросы:

1) Каким образом вирус все таки проник на компьютер, если Касперский его удалил? Или просто Касперский удалил его после того, как тот успел оставить свой вирусный файл с расширением *.tmp и рандомным именем. Если так, то почему Касперский не видел в этом *.tmp файле вируса при проверке системы?

2) Насколько я понимаю, угроза уже устранена, но ее последствия - нет. Видимо остались измененные параметры системного реестра. Как узнать, какие параметры вирус изменил и как вернуть все на место?

3) Что может впоследствии помочь при вирусах такого рода? Может ли помочь допустим частое резервное копирование системы на сменный носитель? Если да, то не будет ли этот сменный носитель автоматически заражаться этим вирусом при первом же подключении? Если будет, то как я понимаю надо вначале форматировать диск, а потом уже к нему подключать накопитель с резервной копией данных?

Заранее спасибо за помощь!

Изменено 22 января, 2010 пользователем Gillmann

[snifer67]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Gillmann]

Логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

Вижу остатки Symantec. Norton Ghost установлен?

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

 

 

Скорее всего сами разрешили

>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные

>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX

>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

[sandkey]

Вместо диспетчера задач скачал программу-аналог диспетчера - Process Explorer, она спокойно запустилась

удивлен

Каким образом вирус все таки проник на компьютер

человек нажал кнопку

Как узнать, какие параметры вирус изменил и как вернуть все на место?

восстановить реестр на дату до заражения я бы сказал.... но не вариант особенно если ставились проги типа с кучей защит лицензий и тд. проще восстановить службы. ассоциации. политики безопасности и.... а собственно что не работает?

то не будет ли этот сменный носитель автоматически заражаться этим вирусом при первом же подключении

необязательно и под виндой копировать. ну тут море решений

[Gillmann]

Вижу остатки Symantec. Norton Ghost установлен?

Да, ghost стоит.

Изменений не заметил, поэтому сказать что не работает не могу. Кстати т.к. outpost спокойно работал и при вирусе, то можно было завершить процесс и без process explorer.