-
Junior Member
- Вес репутации
- 61
Вирус Get-accelerator
Принесли комп. При входе в систему почти на весь экран окно вируса, требующего отправить смс на короткий номер 9099 с текстом acv1017819. Вирус даёт три минуты, потом перезагружает систему.
Сразу говорю, те коды, что на dr.web есть возможность получить, не подходят.
Логи сделать не успеваю, но могу сказать, что дело в зараженном Winlogon.exe (он выдает окно), который прикладываю.
Сделал восстановление винды с загрузочного диска (Enter, F8, R), не помогло. Есть подозрение, что вирус восстанавливает себя через загрузочный сектор, т.к. при вызове fixmbr выдается сообщение, что загрузчик не опознан и могут быть проблемы.
CureIt Тоже не запускается, вылетает )
Последний раз редактировалось BarsukovAV; 16.10.2009 в 09:32.
Причина: убрал вложение
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
винлогон чистый. длл-ка подозрительная, но удалять не спешите.
Прикреплять подозритиельные файлы в тему запрещено, поэтому удаляю.
Загрузиться в безопасном режиме не пробовали?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Нашёл способ избавиться от вредного окна, чтобы можно было хотя бы сканер запустить. Запускаем диспетчер задач, на вкладке Приложения выбираем "Активация..." правой кнопкой / свернуть.
Добавлено через 4 минуты
Пришёл ответ от kaspersky...
winlogon из dllcache.exe, winlogon из system32.exe
Вредоносный код в файлах не обнаружен (это оригинальные файлы windows).
{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll - Trojan.Win32.Zapchast.adw
Да, в безопасном запускался, конечно. Та же проблема, т.е. требует активацию.
Добавлено через 15 минут
о! Эврика! Загрузился в безопасном режиме с поддержкой коммандной строки.
Комп не перезагружается... Или уже вирус отстал от меня (на форумах пишут, что после какго-то количества перезагрузок он перестаёт мешаться).
Запустил CureIT, сейчас закачаю avz и сделаю логи.
Добавлено через 14 минут
ОДнако, вирус запускает не winlogon.exe. так как при загрузке в безопасном режиме с поддержкой командной строки вирус не вылазит. Когда закрываешь командную строку и запускаешь explorer.exe (а он уже все вытекающие), тогда сразу вылазит окно вируса и таймер.
Последний раз редактировалось BarsukovAV; 16.10.2009 в 07:57.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 61
Логи
выкладываю логи.
Помогите, пожалуйста, комп нужен уже буквально через час!
Последний раз редактировалось BarsukovAV; 16.10.2009 в 09:32.
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\windows7addon.exe','');
QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-0318687194-1276497934-191686497-7654\mwau.exe','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\vtmini.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('D:\WINDOWS\dmgr134.sys','');
QuarantineFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
QuarantineFile('D:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('D:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('D:\WINDOWS\dmgr134.sys');
DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('D:\RECYCLER\S-1-5-21-0318687194-1276497934-191686497-7654\mwau.exe');
DeleteFile('D:\WINDOWS\system32\csrcs.exe');
DeleteFile('D:\WINDOWS\system32\sysmgr.exe');
DeleteFile('D:\WINDOWS\windows7addon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','sysmgr');
BC_Importall;
BC_DeleteSvc('sysdrv32');
BC_DeleteSvc('Microsoft Network Driver');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить.
Сделайте лог gmer
-
-
Junior Member
- Вес репутации
- 61
Проблема решена, спасибо большое!
Логи сделать не успел, т.к. комп надо было срочно отдавать, бухам отчетность сдавать, а тут такая засада.
Но на сегодняшний день всё работает на ура!
Спасибо ещё раз.
-
Если есть возможность, то карантин пришлите.
-
-
Junior Member
- Вес репутации
- 61
file
все логи и карантин у клиента. Впрочем, в карантине и был-то один единственный файл. Остальные антивирусами до вашего лечения были убиты. Этот файл у меня есть, я его в антивирусные компании рассылал. Сейчас приложу.
Пароль к архиву virus
Последний раз редактировалось BarsukovAV; 20.10.2009 в 06:32.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan.Win32.Zapchast.adw ( DrWEB: Trojan.Winlock.342, BitDefender: Trojan.Generic.2554899, AVAST4: Win32:Malware-gen )
-