Словил Get Access

**KsKost** · 10.01.2010, 12:52

Словил вирус Get Access 1350.При включении выводит на рабочий стол окно,которое занимает 2/3 экрана.Проверяли Nod'ом,с последними базами-ничего не выловил,AVZ-поймал ветку в реестре-удалил...Заставка пропала,а через час снова появилась.Проверил с помощью AVZ-целостность реестра,с маской поиска *get access.Нашёл две ветки в Control set\Control\Devise Claes\.Ещё в заставке Get Access,в лицензионном соглашении фигурирует фирма ООО "Софт Технология"...Пожалуйста помогите.Прикрепляю логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 10.01.2010, 12:56

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('\\?\globalroot\systemroot\system32\usеrinit.exe','');
 DeleteService('userinit');
 DeleteFile('\\?\globalroot\systemroot\system32\usеrinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=66644

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**KsKost** · 10.01.2010, 13:26

Выполнил все ваши инструкции.Загрузил quarantine.zip,через вашу ссылку.Вот новые логи.

**Aleksandra** · 10.01.2010, 13:29

1. пуск - выполнить - sc delete usеrinit

2. Повторите лог virusinfo_syscheck.

**KsKost** · 10.01.2010, 13:36

Выполнил.Вот лог.

**Aleksandra** · 10.01.2010, 13:41

1. Пофиксите в HijackThis:

O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINDOWS\system32\usеrinit.exe (file missing)

Как фиксить здесь http://virusinfo.info/showpost.php?p=80604&postcount=2

2. Повторите лог virusinfo_syscheck.

**KsKost** · 10.01.2010, 13:50

O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINDOWS\system32\usеrinit.exe (file missing)

А какое название службы в Delete an NT Service-вводить?

**Aleksandra** · 10.01.2010, 13:53

Сообщение от KsKost

А какое название службы в Delete an NT Service-вводить?

userinit

**KsKost** · 10.01.2010, 14:02

Сообщение от Aleksandra

userinit

Выскакивает ошибка.

The service 'userinit' is enabled and/or running.Disable it first,using HijackThis it self (from the scan results) or the Services.msc window.

**Aleksandra** · 10.01.2010, 14:05

Еще раз:

пуск - выполнить - sc delete usеrinit

и попробуйте снова.

**KsKost** · 10.01.2010, 14:08

Сообщение от Aleksandra

Еще раз:

и попробуйте снова.

Непомогает...

**Aleksandra** · 11.01.2010, 07:53

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteService('userinit');
 DeleteFile('\\?\globalroot\systemroot\system32\usеrinit.exe');
 RegKeyDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\userinit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

**CyberHelper** · 12.01.2010, 07:53

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. \\?\globalroot\systemroot\system32\usеrinit.exe - Trojan-Downloader.Win32.Agent.czbe ( DrWEB: Trojan.DownLoad1.26801, BitDefender: Trojan.Generic.2956909 )
2. \\?\globalroot\systemroot\system32\usеrinit.exe - Trojan-Ransom.Win32.Digitala.dd

Словил Get Access (заявка № 66644)

Опции темы

Словил Get Access

Итог лечения

Похожие темы

Словил winlock на XP

Словил баннер Get Access

Словил Get Accelerator

что-то словил

Метки для этой темы

Ваши права в разделе