-
Junior Member
- Вес репутации
- 53
По поводу Get Accelerator на 1350
На сколько я понял универсального скрипта не существует, по скольку имя драйвера все время меняется, можно попробовать выполнить стандартный скрипт №4 сбор не опознанных и подозрительных файлов, а потом поглядеть лог, вот кусок моего лога
Ошибка карантина файла, попытка прямого чтения (70.103.101.103\aekgoprn.dll)
Ошибка карантина файла, попытка прямого чтения (70.103.101.103\aekgoprn.dll)
Файл успешно помещен в карантин (C:\WINDOWS\System32\Drivers\8hsdooit.SYS)
Собственно последняя запись и являлась драйвером сего вымогателя, после его сноса и перезагрузки компьютера исчез баннер и заработала сеть. Так что в общих чертах алгоритм борьбы такой делаем сканирование 4 скриптом ищем загрузку подозрительного драйвера, на всякий случай делаем перемещение его на другой логический диск или в другую папку отличную от системной, перезагружаемся. По идее баннер должен исчезнуть (по крайней мере у меня так было), а потом долечиваем утилитами или антифирусом.
Есть вопрос не могу понять откуда это берется 70.103.101.103\aekgoprn.dll (вроде понятно что dll вымогателя), похоже на IP адрес, но по этому адресу ничего нет, не понятно что это, может кто знает подскажите, может какой дескриптор памяти, ну папки такой на компьютере точно нет. Заранее благодарен за ответ
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Спасибо
Да данный способ работает, спасибо, сегодня в логе увидел подозрительный файл из C:\WINDOWS\System32\Drivers\ и добавил его в такой уже привычный скрипт из тем про Get Accelerator
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\mijhaj ib.SYS','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll', '');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\mijhajib.S YS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Структура вируса как я понял все время одинаковая, меняется только название файла C:\WINDOWS\System32\Drivers\mijhajib.SYS.
мой блог "Ленивый ITшник" akaskif.blogspot.com