-
Junior Member
- Вес репутации
- 53
Trojan-Ransom.Win32.Agent.gc (Get Accelerator)
Добрый день.
пару дней назад появился этот вирус. делал все по инструкции, после проверки AVPTool в безопасном режиме и перезагрузки не было сообщения об отправке СМС. выполнил скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info, потом перезагрузка, окно про отправку смс и ничего не работает (не смог запустить AVZ чтобы выполнить второй скрипт. перегрузился в безопасном режиме, опять прогнал AVPTool (он нашел dll с этим вирусом), опять перегрузился уже в обычном режиме. окно про СМС было, но все работало. выполнил второй скрипт и HijackThis.
все эти логи во вложении, помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('winsecguard');
StopService('opwieyaqwuelgso');
DelBHO('{EA982585-D249-40C8-A368-C2BE7944ABC2}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\klhlib.dll','');
QuarantineFile('C:\WINDOWS\Microsoft.NET\zpx2.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\yjkgfjiwwer.sys','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DeleteFile('C:\WINDOWS\system32\drivers\yjkgfjiwwer.sys');
DeleteFile('C:\WINDOWS\Microsoft.NET\zpx2.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\klhlib.dll');
DeleteService('opwieyaqwuelgso');
DeleteService('winsecguard');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('opwieyaqwuelgso');
BC_DeleteSvc('winsecguard');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
вроде все сделал, логи во вложении. кажется оно вылечилось, но ноут почему то молча сам перегрузился один раз, когда я с ним ничего не делал несколько минут (после загрузки после выполнения первого пункта из диагностики)
-
Чисто.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Установите SP3 + все заплатки (может потребоваться повторная активация ОС). Установите Internet Explorer 8
-
-
Junior Member
- Вес репутации
- 53
-
Результаты карантина:
C:\WINDOWS\dmgr134.sys - Trojan-Dropper.Win32.Agent.bgfs
-
-
Junior Member
- Вес репутации
- 53
нда... и что делать дальше?
-
А дальше
Установите SP3 + все заплатки (может потребоваться повторная активация ОС). Установите Internet Explorer 8
Результаты карантина для информации
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\dmgr134.sys - Trojan-Dropper.Win32.Agent.bgfs ( DrWEB: Trojan.Winlock.366 )
-