Gillmann Опубликовано 22 января, 2010 Поделиться Опубликовано 22 января, 2010 (изменено) Здравствуйте! У меня стоит Касперский Антивирус 9.0.0.736 и Outpost Firewall последней версии. Оба лицензионные. Сегодня подхватил вирус, который Касперский детектировал как Trojan-Ransom.win32.dummy.u. Файл назывался userlib.dll и сидел в С:\Documents and Settings\All Users\Application Data. Для удаления файла Касперский потребовал перезагрузку системы. После перезагрузки практически на весь экран высветилось сообщение о требовании отправки смс на короткий номер, при этом это окно нельзя было ни свернуть, ни переместить. Диспетчер задач был отключен. Пуск, проводник, интернет, антивирус работали но окно мешало просматривать то, что творится на экране. У меня два монитора, поэтому я сумел переместить все невидимые окна на второй монитор. Вначале проверил систему на вирусы - Касперский ничего не обнаружил (он выругался, но только, до перезагрузки). Для разблокирования системы решил включить диспетчер задач через редактирование реестра, не помогло, тк реестр был заблокирован, попробовал razblocker, он вис при попытке включения реестра. Скачал программу cureit, как многие рекомендуют - установка программы зависала, с AVZ - аналогично. Вместо диспетчера задач скачал программу-аналог диспетчера - Process Explorer, она спокойно запустилась - завершил подозрительный процесс (файл имел расширение .tmp и рандомное имя и сидел в C:\Documents and Settings\User\Local Settings\Temp). После этого удалил этот tmp файл, с диспетчером и реестром никаких изменений не произошло. Сейчас перегрузил комп - сообщение не возникает, диспетчер задач и реестр спокойно включил с помощью программы razblocker (хотя после переустановки он все так же был выключен), все в норме, система не виснет и на первый взгляд проблем никаких. Понятно, что вируса на компе уже нет, поэтому при очередной проверке системы Касперский ничего не выявил. У меня вопросы: 1) Каким образом вирус все таки проник на компьютер, если Касперский его удалил? Или просто Касперский удалил его после того, как тот успел оставить свой вирусный файл с расширением *.tmp и рандомным именем. Если так, то почему Касперский не видел в этом *.tmp файле вируса при проверке системы? 2) Насколько я понимаю, угроза уже устранена, но ее последствия - нет. Видимо остались измененные параметры системного реестра. Как узнать, какие параметры вирус изменил и как вернуть все на место? 3) Что может впоследствии помочь при вирусах такого рода? Может ли помочь допустим частое резервное копирование системы на сменный носитель? Если да, то не будет ли этот сменный носитель автоматически заражаться этим вирусом при первом же подключении? Если будет, то как я понимаю надо вначале форматировать диск, а потом уже к нему подключать накопитель с резервной копией данных? Заранее спасибо за помощь! Изменено 22 января, 2010 пользователем Gillmann Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 22 января, 2010 Поделиться Опубликовано 22 января, 2010 http://forum.kasperskyclub.ru/index.php?showtopic=1698 Ссылка на комментарий Поделиться на другие сайты Поделиться
Gillmann Опубликовано 22 января, 2010 Автор Поделиться Опубликовано 22 января, 2010 Логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 января, 2010 Поделиться Опубликовано 22 января, 2010 Вижу остатки Symantec. Norton Ghost установлен? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); end. Скорее всего сами разрешили >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX Ссылка на комментарий Поделиться на другие сайты Поделиться
sandkey Опубликовано 22 января, 2010 Поделиться Опубликовано 22 января, 2010 Вместо диспетчера задач скачал программу-аналог диспетчера - Process Explorer, она спокойно запустилась удивлен Каким образом вирус все таки проник на компьютер человек нажал кнопку Как узнать, какие параметры вирус изменил и как вернуть все на место? восстановить реестр на дату до заражения я бы сказал.... но не вариант особенно если ставились проги типа с кучей защит лицензий и тд. проще восстановить службы. ассоциации. политики безопасности и.... а собственно что не работает? то не будет ли этот сменный носитель автоматически заражаться этим вирусом при первом же подключении необязательно и под виндой копировать. ну тут море решений Ссылка на комментарий Поделиться на другие сайты Поделиться
Gillmann Опубликовано 22 января, 2010 Автор Поделиться Опубликовано 22 января, 2010 Вижу остатки Symantec. Norton Ghost установлен? Да, ghost стоит. Изменений не заметил, поэтому сказать что не работает не могу. Кстати т.к. outpost спокойно работал и при вирусе, то можно было завершить процесс и без process explorer. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти