Все тот же Get Accelerator

[skvorzoff]

Здравствуйте. Высвечивается окно о нарушении прав программы Get Accelerator и невозможно подключиться к интернету. В безопасном режиме компьютер не загружается (идет перезагрузка). Убрал это окно путем перевода на неделю назад в BIOS системного времени. Проверяю утилитой Virus Remowal Tool она находит окло восьми вирусов в разных папках: начинаю их лечить, утилита предлагает их удалять.. Начинаю удалять и при удалении svhost.exe\{991FOAD1-DA5D-4dc3-BOBA-F46BAOF1D3CB}.dll появляется окно NO AUTORITY SYSTEM с предупреждением что компьютер перезагрузится через 1 мин. и компьютер перезагружается. И все повторяется по новой - запускаю утилиту она находит штук восемь вирусов причем с одним и тем же названием что писал выше, только в разных процессах и при удалении компьютер перезагружается. При возврате даты на действительную сегодняшнюю появляется окно с Get Accelerator которое не дает ничего сделать.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\trksvr.dll','');
 QuarantineFile('C:\WINDOWS\system32\sacsvr.dll','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\bsp.cmd','');
 QuarantineFile('C:\WINDOWS\dmgr134.sys','');
 QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
 DeleteFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
 DeleteFile('C:\WINDOWS\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=57910).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[skvorzoff]

Скрипт выполнил, карантин выслал

[Bratez]

карантин выслал

Не вижу карантина. Я дал ссылочку, куда загружать.

[skvorzoff]

отправил карантин с другого компьютера

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\sacsvr\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\TrkSvr\Parameters','ServiceDll');
end.

Больше ничего плохого не видно.

Рекомендуется установить SP3 и последующие обновления.

[skvorzoff]

Спасибо огромное. Системное время вернул на сегодняшнее. Окно исчезло. Но при запуске DrWeb при быстрой проверке постоянно теперь находит процесс в памяти
C:\WINDOWS\system32\netdde.exe:200 BackDoor.Tdss.565 пишет что обезврежен, дальше доходит до файла C:\Documents and Settings\All Users\Рабочий стол\desktop.ini вылетает ошибка типа "Память не может быть read" и программа закрывается. При вторичном запуске все повторяется. Переустановил программу. Все то же. При запуске Утилиты Dr. Web CureIt! быстрый поиск проходит нормально, но опять же находит процесс в памяти C:\WINDOWS\system32\netdde.exe:200. Пишет чт обезврежен, но при следующем запуске опять он есть. Сейчас запустил на полную проверку.

Добавлено через 51 минуту

при полной проверке нашел еще вирус на диске D reboot.exe статус Tool.Reboot.20481
удалил его, комп перезагрузил - все что описано в предыдущем сообщении повторяется.
Только когда Доктор веб вылетает с ошибкой "Память не может быть "read" я путь не правильно написал. Путь C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\desktop.ini
Т.е доходит до этого файла и вырубается.
Что посоветуете?

[Bratez]

Путь C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\desktop.ini
Т.е доходит до этого файла и вырубается.

Просто удалите этот файл вручную, он там сто лет не нужен.
Скорее всего имеет атрибут скрытый.

[skvorzoff]

Удалил
Процесс в памяти так же находит. Доктор Веб так же вырубается(память не может быть read), только теперь на других файлах. Пробовал загрузиться в безопасном режиме - компьютер не грузится (перезагружается)
Проверял утилитой от Касперского ничего подозрительного не находит.
И еще если я проверяю сначала утилитой от Доктора Веб, а потом самой программой ДрВеб, то программа не вырубается и работает нормально
Единственно все время находит этот злополучный процесс в памяти

[Bratez]

Установите в AVZ драйвер расширенного мониторинга (AVZPM), перезагрузите компьютер и сделайте новые логи.

[skvorzoff]

Установите в AVZ драйвер расширенного мониторинга (AVZPM),

подскажите как это сделать, или ссылочку дайте пожалуйста

[Bratez]

Запустить AVZ, выбрать в меню AVZPM - Установить драйвер...

[skvorzoff]

сделал:

[Bratez]

Не видно ничего плохого.
Выполните скрипт:

Код:

begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.

Сделайте проверку файловой системы (chkdsk) с включенной опцией автоматического исправления ошибок, потом ставьте SP3 и последующие обновления. Должно помочь.

[skvorzoff]

Спасибо вам огромное за оперативную поддержку. Не ожидал, что так быстро будете отвечать и соответственно быстро решите проблему. В принципе остальное всё - мелочи.
Пошел в раздел помощь сайту!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\dmgr134.sys - Trojan-Ransom.Win32.Agent.ge ( DrWEB: Trojan.Winlock.366 )
  2. c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan-Ransom.Win32.Agent.gd ( DrWEB: Trojan.Winlock.366, BitDefender: Trojan.Generic.2615380, AVAST4: Win32:Trojan-gen )