Показано с 1 по 15 из 15.

Get Accelerator (опять) (заявка № 61144)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63

    Exclamation Get Accelerator (опять)

    Здравствуйте.

    Забоел комп извесной гадостью.
    Перечитал весь форум, вылечить не могу, так ак:

    1. В командную строку не пускает (просто не открывается)
    2. Выполнение бат файлы с tasklist с перенаправленем результата в файл ни к чему хорошему не приводит (нет результата)
    3. ни одна из програм антивируса не запускается, ни с флэшки, ни с диска, включая AVZ, так что нет возможности выполнить скрипты
    4. Пробовал использовать утилиты от Sysinternals, в часномти pslist и pskill - результат неутешительный
    5. С другого компа подключал реестр с зараженной машины - в Run и RunOnce ничегоподозрительного
    6. Все файлы которые могут вызвать этот троян (названия найдены в инете) на компе нет - запускал Frenzy.
    7. На данный момент работает DrWeb (скачал загрузочный образ с сайта)..пока ничего не нашел.

    Есть какие-то рекомендации?

    Комп главбуха..установлено куча программ, переустановка системы нежелательна, хотябы до того момента пока можно будет сохранить данные (вариант с LiveCD не пройдет, так как данные специфичные и сохраняются только из запущенной из под винды программы)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    ни одна из програм антивируса не запускается, ни с флэшки, ни с диска, включая AVZ, так что нет возможности выполнить скрипты
    Попробуйте эту версию AVZ.
    HijackThis тоже не запускается? А если переименовать?
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63
    Попробовал, тоже не запускается...комп просто мертво висит и все.
    В довершении ко всему, начали еще всплывать и порнографические окошки..

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте в безопасном режиме.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63
    ПРобовал...
    Даже часы переводил вперед/назад...
    При переводе времени окно не появляется, но и антивирус тое не запустить

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Как насчет AVPTool?
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63
    Скачаю посмотрим))

  10. #9
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63

    Get Accelerator (продолжение)

    Запустить AVZ и выполнить рекомендации согласно правилам мне удалось.

    Основное окно get Accelerator пропало, вместо него теперь порнографическое окошко.
    кроме как предложение отправить текст СМС М20920007 на номер 3649 юольше в нем ничего нет. На экране занимает практически 90%.
    Реагирует на запуск любого exe файла.
    Последний раз редактировалось Bratez; 24.11.2009 в 18:58.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\photo_id.exe','');
     QuarantineFile('C:\DOCUME~1\user010\LOCALS~1\Temp\init.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethqyfnz.sys','');
     QuarantineFile('C:\WINDOWS\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\sMvkQ.dll','');
     QuarantineFile('C:\WINDOWS\System32\rasmans.dll','');
     QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
     DeleteFile('C:\WINDOWS\system32\photo_id.exe');
     DeleteFile('C:\WINDOWS\system32\sMvkQ.dll');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\system32\wininet.exe');
     DeleteFile('C:\WINDOWS\system\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ethqyfnz.sys');
     DeleteFile('C:\DOCUME~1\user010\LOCALS~1\Temp\init.exe');
     DeleteFile('C:\Documents and Settings\Администратор\photo_id.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=61164).
    Сделайте новые логи.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63
    AVZ больше не запускается ни в безопасном режиме, ни в обычном.
    При запуске открывается окно с номером СМС 3649 на весь экран

    ОТключить востановление системы невозможно - заблокировано

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Диспетчер задач работает? Или окно выскакивает при загрузке системы блокируя все и вся? Если последнее пролечитесь с помощью LiveCD http://virusinfo.info/showpost.php?p=306441&postcount=2 , затем попробуйте сделать логи.

  14. #13
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63
    Ну вроде все выполнил. Карантин отослал.
    Логи ниже.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Пролечитесь как рекомендовано здесь
    http://support.kaspersky.ru/faq/?qid=208636281
    Затем выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\documents and settings\user010\photo_id.exe');
     QuarantineFile('C:\WINDOWS\system32\sMvkQ.dll','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('C:\WINDOWS\system32\service.exe','');
     QuarantineFile('C:\WINDOWS\service.exe','');
     QuarantineFile('C:\WINDOWS\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
     QuarantineFile('C:\Documents and Settings\user010\user010.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
     QuarantineFile('C:\Documents and Settings\user010\photo_id.exe','');
     DeleteFile('c:\documents and settings\user010\photo_id.exe');
     DeleteFile('C:\Documents and Settings\user010\user010.exe');
     DeleteFile('C:\WINDOWS\system32\sMvkQ.dll');
     DeleteFile('C:\WINDOWS\system32\photo_id.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\WINDOWS\system\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\service.exe');
     DeleteFile('C:\WINDOWS\service.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinDLL (service.exe)');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','user010');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     ExecuteWizard('TSW', 3, 3, true);
     RebootWindows(true);
    end.
    Закачайте карантин по красной ссылке вверху. Повторите логи
    The Truth is Out There

  16. #15
    Junior Member Репутация
    Регистрация
    28.12.2006
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    63
    Спасибо.
    Завтра закончу...

  • Уважаемый(ая) arriah, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Опять Get Accelerator!
      От Mishustic в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.12.2009, 16:06
    2. Опять Get Accelerator!
      От Obstinate в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.12.2009, 14:46
    3. опять get accelerator
      От Mer4ik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.11.2009, 17:45
    4. Опять Get Accelerator...
      От Reckless в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.11.2009, 12:35
    5. опять Get Accelerator.
      От poserge в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2009, 17:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00622 seconds with 19 queries