-
Junior Member
- Вес репутации
- 53
Get Accelerator нет интернета 2
Добрый день
касперский 6 версия
в воскресенье появилось сообщение - тревога Trojan-Downloader.Win32.Mutant.foa - в списке загруженных программ появилась restorer64_a.exe
полэкрана было занято таблицей с настоятельной просьбой зарегить программу Get Accelerator посредством смс, в противном случае после 10 минут грозились навредить моему любимому аппарату.
лечение каспером и утилитой докто веб не помогло
в результате через день полкаспера было блокировано вирусом
пропал интернет
после продолжительных боев (по вечерам) обновил таки базы каспера, утилиты веба и avz
выполнил предлагаемые Вами действия по проверке и диагностике
вроде каспер не бьет в набат
логи прилагаю и прошу мед освидетельствования
заранее признателен
с уважением
Джекки
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HiJack
Код:
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: mt41hub - C:\WINDOWS\
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Евгений\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\Евгений\Application Data\seres.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0joxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0pvxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4fkxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6taxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7xdxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8sxxx.sys','');
DeleteService('ati8sxxx');
DeleteService('ati7xdxx');
DeleteService('ati4fkxx');
DeleteService('ati0pvxx');
DeleteService('ati0joxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8sxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7xdxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6taxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4fkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0joxx.sys');
DeleteFile('C:\Documents and Settings\Евгений\Application Data\seres.exe');
DeleteFile('C:\Documents and Settings\Евгений\Application Data\svcst.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true);
DeleteDirectory('C:\PROGRA~1\FieryAds');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Последний раз редактировалось thyrex; 22.10.2009 в 22:01.
Причина: Поправил опечатку
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
карантин отправил
инет периодически пропадает-перезагрузка восстанавливает
ps долго сканировал гмер часа 2 наверн
и как то неожиданно прервался с непонятной надписью на англ
но явно что не комплит
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 5lb9oxpn.exe (gmer)
Код:
5lb9oxpn.exe -del service ntsprsf
5lb9oxpn.exe -del file "C:\WINDOWS\system32\uflvpzlp.dll"
5lb9oxpn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ntsprsf"
5lb9oxpn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ntsprsf"
5lb9oxpn.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
при запуске батника 2 раза был сбой библиотек
но лог записался нормально
-
Больше ничего подозрительного.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 53
проблем вроде бы нет
касперский не сигналит, инет есть
но что то напрягает файл restorer64_a.exe в карантине (отправлял ранее)
именно он как я понимаю и был трояном
как то можно от него совсем избавиться?
-
Скрипт для AVZ должен был удалить этот файл.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
делаю просмотр карантина и вижу его там
-
Ну и что? Очистить карантин, если вам не дорог он как память. В карантине он безвредный
P.S. антивирус удалить и поставить последнею версию + http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 53
посоветовали поставить после лечения заплаты винды
WindowsXP-KB957097-x86-RUS.exe
WindowsXP-KB958644-x86-RUS.exe
WindowsXP-KB958687-x86-RUS.exe
стоит ли это делать?
-
Это только небольшая часть из того, что может предложить http://update.microsoft.com/microsof...ult.aspx?ln=ru
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения вредоносные программы в карантинах не обнаружены
-