Показано с 1 по 2 из 2.

По поводу Get Accelerator на 1350

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2009
    Сообщений
    2
    Вес репутации
    53

    По поводу Get Accelerator на 1350

    На сколько я понял универсального скрипта не существует, по скольку имя драйвера все время меняется, можно попробовать выполнить стандартный скрипт №4 сбор не опознанных и подозрительных файлов, а потом поглядеть лог, вот кусок моего лога

    Ошибка карантина файла, попытка прямого чтения (70.103.101.103\aekgoprn.dll)
    Ошибка карантина файла, попытка прямого чтения (70.103.101.103\aekgoprn.dll)
    Файл успешно помещен в карантин (C:\WINDOWS\System32\Drivers\8hsdooit.SYS)
    Собственно последняя запись и являлась драйвером сего вымогателя, после его сноса и перезагрузки компьютера исчез баннер и заработала сеть. Так что в общих чертах алгоритм борьбы такой делаем сканирование 4 скриптом ищем загрузку подозрительного драйвера, на всякий случай делаем перемещение его на другой логический диск или в другую папку отличную от системной, перезагружаемся. По идее баннер должен исчезнуть (по крайней мере у меня так было), а потом долечиваем утилитами или антифирусом.
    Есть вопрос не могу понять откуда это берется 70.103.101.103\aekgoprn.dll (вроде понятно что dll вымогателя), похоже на IP адрес, но по этому адресу ничего нет, не понятно что это, может кто знает подскажите, может какой дескриптор памяти, ну папки такой на компьютере точно нет. Заранее благодарен за ответ

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    9
    Вес репутации
    53

    Спасибо

    Да данный способ работает, спасибо, сегодня в логе увидел подозрительный файл из C:\WINDOWS\System32\Drivers\ и добавил его в такой уже привычный скрипт из тем про Get Accelerator
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\Drivers\mijhaj ib.SYS','');
    QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll', '');
    DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
    DeleteFile('C:\WINDOWS\System32\Drivers\mijhajib.S YS');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Структура вируса как я понял все время одинаковая, меняется только название файла C:\WINDOWS\System32\Drivers\mijhajib.SYS.
    мой блог "Ленивый ITшник" akaskif.blogspot.com

Похожие темы

  1. Get accelerator 1350
    От Kelnara в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 15.12.2009, 20:27
  2. опять же Get Accelerator смс 1350
    От Адрей в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 09.12.2009, 15:07
  3. Get Accelerator 1350
    От tpc в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 03.12.2009, 15:13
  4. Get Accelerator 1350
    От support в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.12.2009, 14:48
  5. get accelerator 1350
    От BlackDaiver в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.12.2009, 14:33

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00324 seconds with 16 queries