-
Junior Member
- Вес репутации
- 53
Опять Get Accelerator
На работу к нам (фотосалон) каждый день приносят кучу флэшек. Стоит КИС 2010. Бывают проблемы с вирусами, но до сегодняшнего дня с помощью вашего форума справлялись. Так вот, прихожу вечером, включаю комп, и на четверть экрана полупрозрачное окно: "Доступ в интернет заблокирован в связи с нарушением лицензионного соглашения программы Get Accelerator", и предлагается отправить сообщение 260008513 на номер 7122. Касперский сразу оповестил о том, что его компоненты загрузиться не могут. "Неопознанная ошибка". Интернет не работает.
Раньше подобные вирусы у наших клиентов (сервисом помаленьку занимаемся) мы лечили стандартным др.вебом cure it. в этот раз загрузился с диска Hiren's BootCD (так как в безопасном режиме это полупрозрачное окно не исчезало), запустил сегодняшний CureIt, нашел 4 вируса-трояна в папке систем32 и один в папке Installer. Один из троянов был из того самого семейства Trojan.Winlock (по классификации Др.Веба). Точное название Trojan.Winlock.411. Кода к нему на сайте Веба нет. В-общем, удалил он эти вирусы. В мсконфиг нашел в автозагрузке файл sysupd32.exe, его удалил ручками.
Результат нулевой, как висело это окно полупрозрачное, так и висит.
Восстановление системы было отключено всегда.
Надеюсь на вашу помощь.
Вложение 179228
Вложение 179229
Вложение 179230
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
QuarantineFile('C:\WINDOWS\aekgoprn.sys','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\Program Files\Daphne\DRKShell.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\aekgoprn.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\csrbc01.sys');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
BC_ImportALL;
BC_DeleteSvc('CSRBC01');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Пофиксите Hijackthis
Код:
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 53
Браво, Вегас!
Окно пропало, интернет заработал. Но Касперский по-прежнему не хочет загружаться.
Карантин закачал. Сейчас будут логи.
-
Junior Member
- Вес репутации
- 53
вот и логи. что делать с касперским? удалить и поставить заново?
hijackthis.log
Вложение 179268
Вложение 179269
-
Внимание !!! База поcледний раз обновлялась
25.03.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии
4.30
Скачать версию 4.32, обновить базы AVZ и сделать новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Переустановил Касперского через восстановление. Все заработало. AVZ не мог обновиться, так как вирус закрыл доступ в интернет. Обязательно обновлю.
Сейчас все работает замечательно. Проблема решена за полчаса. Респектище вам, товарищи!
в понедельник вечером выложу логи.
Последний раз редактировалось Noxious Lexxx; 16.11.2009 в 04:20.
Причина: ззз
-
Сообщение от
thyrex
Скачать версию 4.32, обновить базы AVZ и сделать новые логи
Поскольку доступ в интернет появился, выполните рекомендацию, дабы убедиться что почистили все
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\aekgoprn.dll - Trojan-Ransom.Win32.Agent.gy ( DrWEB: Trojan.Winlock.469, BitDefender: Gen:Trojan.Heur.Hype.cy4@aue6Blkk, NOD32: Win32/Agent.QFM trojan, AVAST4: Win32:Trojan-gen )
-