-
Junior Member
- Вес репутации
- 63
Get Accelerator (опять)
Здравствуйте.
Забоел комп извесной гадостью.
Перечитал весь форум, вылечить не могу, так ак:
1. В командную строку не пускает (просто не открывается)
2. Выполнение бат файлы с tasklist с перенаправленем результата в файл ни к чему хорошему не приводит (нет результата)
3. ни одна из програм антивируса не запускается, ни с флэшки, ни с диска, включая AVZ, так что нет возможности выполнить скрипты
4. Пробовал использовать утилиты от Sysinternals, в часномти pslist и pskill - результат неутешительный
5. С другого компа подключал реестр с зараженной машины - в Run и RunOnce ничегоподозрительного
6. Все файлы которые могут вызвать этот троян (названия найдены в инете) на компе нет - запускал Frenzy.
7. На данный момент работает DrWeb (скачал загрузочный образ с сайта)..пока ничего не нашел.
Есть какие-то рекомендации?
Комп главбуха..установлено куча программ, переустановка системы нежелательна, хотябы до того момента пока можно будет сохранить данные (вариант с LiveCD не пройдет, так как данные специфичные и сохраняются только из запущенной из под винды программы)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
ни одна из програм антивируса не запускается, ни с флэшки, ни с диска, включая AVZ, так что нет возможности выполнить скрипты
Попробуйте эту версию AVZ.
HijackThis тоже не запускается? А если переименовать?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Попробовал, тоже не запускается...комп просто мертво висит и все.
В довершении ко всему, начали еще всплывать и порнографические окошки..
-
Попробуйте в безопасном режиме.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
ПРобовал...
Даже часы переводил вперед/назад...
При переводе времени окно не появляется, но и антивирус тое не запустить
-
-
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
-
Junior Member
- Вес репутации
- 63
Get Accelerator (продолжение)
Запустить AVZ и выполнить рекомендации согласно правилам мне удалось.
Основное окно get Accelerator пропало, вместо него теперь порнографическое окошко.
кроме как предложение отправить текст СМС М20920007 на номер 3649 юольше в нем ничего нет. На экране занимает практически 90%.
Реагирует на запуск любого exe файла.
Последний раз редактировалось Bratez; 24.11.2009 в 18:58.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\photo_id.exe','');
QuarantineFile('C:\DOCUME~1\user010\LOCALS~1\Temp\init.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethqyfnz.sys','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\sMvkQ.dll','');
QuarantineFile('C:\WINDOWS\System32\rasmans.dll','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\system32\sMvkQ.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ethqyfnz.sys');
DeleteFile('C:\DOCUME~1\user010\LOCALS~1\Temp\init.exe');
DeleteFile('C:\Documents and Settings\Администратор\photo_id.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61164).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
AVZ больше не запускается ни в безопасном режиме, ни в обычном.
При запуске открывается окно с номером СМС 3649 на весь экран
ОТключить востановление системы невозможно - заблокировано
-
Диспетчер задач работает? Или окно выскакивает при загрузке системы блокируя все и вся? Если последнее пролечитесь с помощью LiveCD http://virusinfo.info/showpost.php?p=306441&postcount=2 , затем попробуйте сделать логи.
-
-
Junior Member
- Вес репутации
- 63
Ну вроде все выполнил. Карантин отослал.
Логи ниже.
-
Пролечитесь как рекомендовано здесь
http://support.kaspersky.ru/faq/?qid=208636281
Затем выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\user010\photo_id.exe');
QuarantineFile('C:\WINDOWS\system32\sMvkQ.dll','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
QuarantineFile('C:\WINDOWS\system32\service.exe','');
QuarantineFile('C:\WINDOWS\service.exe','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
QuarantineFile('C:\Documents and Settings\user010\user010.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\Documents and Settings\user010\photo_id.exe','');
DeleteFile('c:\documents and settings\user010\photo_id.exe');
DeleteFile('C:\Documents and Settings\user010\user010.exe');
DeleteFile('C:\WINDOWS\system32\sMvkQ.dll');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('C:\WINDOWS\system32\service.exe');
DeleteFile('C:\WINDOWS\service.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinDLL (service.exe)');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','user010');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 63
Спасибо.
Завтра закончу...