-
Junior Member
- Вес репутации
- 54
Все тот же Get Accelerator
Здравствуйте. Высвечивается окно о нарушении прав программы Get Accelerator и невозможно подключиться к интернету. В безопасном режиме компьютер не загружается (идет перезагрузка). Убрал это окно путем перевода на неделю назад в BIOS системного времени. Проверяю утилитой Virus Remowal Tool она находит окло восьми вирусов в разных папках: начинаю их лечить, утилита предлагает их удалять.. Начинаю удалять и при удалении svhost.exe\{991FOAD1-DA5D-4dc3-BOBA-F46BAOF1D3CB}.dll появляется окно NO AUTORITY SYSTEM с предупреждением что компьютер перезагрузится через 1 мин. и компьютер перезагружается. И все повторяется по новой - запускаю утилиту она находит штук восемь вирусов причем с одним и тем же названием что писал выше, только в разных процессах и при удалении компьютер перезагружается. При возврате даты на действительную сегодняшнюю появляется окно с Get Accelerator которое не дает ничего сделать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\trksvr.dll','');
QuarantineFile('C:\WINDOWS\system32\sacsvr.dll','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\bsp.cmd','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\WINDOWS\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=57910).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнил, карантин выслал
-
Сообщение от
skvorzoff
карантин выслал
Не вижу карантина. Я дал ссылочку, куда загружать.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
отправил карантин с другого компьютера
-
Выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\sacsvr\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\TrkSvr\Parameters','ServiceDll');
end.
Больше ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Спасибо огромное. Системное время вернул на сегодняшнее. Окно исчезло. Но при запуске DrWeb при быстрой проверке постоянно теперь находит процесс в памяти
C:\WINDOWS\system32\netdde.exe:200 BackDoor.Tdss.565 пишет что обезврежен, дальше доходит до файла C:\Documents and Settings\All Users\Рабочий стол\desktop.ini вылетает ошибка типа "Память не может быть read" и программа закрывается. При вторичном запуске все повторяется. Переустановил программу. Все то же. При запуске Утилиты Dr. Web CureIt! быстрый поиск проходит нормально, но опять же находит процесс в памяти C:\WINDOWS\system32\netdde.exe:200. Пишет чт обезврежен, но при следующем запуске опять он есть. Сейчас запустил на полную проверку.
Добавлено через 51 минуту
при полной проверке нашел еще вирус на диске D reboot.exe статус Tool.Reboot.20481
удалил его, комп перезагрузил - все что описано в предыдущем сообщении повторяется.
Только когда Доктор веб вылетает с ошибкой "Память не может быть "read" я путь не правильно написал. Путь C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\desktop.ini
Т.е доходит до этого файла и вырубается.
Что посоветуете?
Последний раз редактировалось skvorzoff; 22.10.2009 в 12:45.
Причина: Добавлено
-
Сообщение от
skvorzoff
Путь C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\desktop.ini
Т.е доходит до этого файла и вырубается.
Просто удалите этот файл вручную, он там сто лет не нужен.
Скорее всего имеет атрибут скрытый.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Удалил
Процесс в памяти так же находит. Доктор Веб так же вырубается(память не может быть read), только теперь на других файлах. Пробовал загрузиться в безопасном режиме - компьютер не грузится (перезагружается)
Проверял утилитой от Касперского ничего подозрительного не находит.
И еще если я проверяю сначала утилитой от Доктора Веб, а потом самой программой ДрВеб, то программа не вырубается и работает нормально
Единственно все время находит этот злополучный процесс в памяти
-
Установите в AVZ драйвер расширенного мониторинга (AVZPM), перезагрузите компьютер и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Установите в AVZ драйвер расширенного мониторинга (AVZPM),
подскажите как это сделать, или ссылочку дайте пожалуйста
-
Запустить AVZ, выбрать в меню AVZPM - Установить драйвер...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
-
Не видно ничего плохого.
Выполните скрипт:
Код:
begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.
Сделайте проверку файловой системы (chkdsk) с включенной опцией автоматического исправления ошибок, потом ставьте SP3 и последующие обновления. Должно помочь.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Спасибо вам огромное за оперативную поддержку. Не ожидал, что так быстро будете отвечать и соответственно быстро решите проблему. В принципе остальное всё - мелочи.
Пошел в раздел помощь сайту!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\dmgr134.sys - Trojan-Ransom.Win32.Agent.ge ( DrWEB: Trojan.Winlock.366 )
- c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan-Ransom.Win32.Agent.gd ( DrWEB: Trojan.Winlock.366, BitDefender: Trojan.Generic.2615380, AVAST4: Win32:Trojan-gen )
-