-
Junior Member
- Вес репутации
- 53
Get Accelerator, последствия
Один из компов в сети словил Get Accelerator (при наличии рабочего каспера). Как полагается, проанализировал, логи выкладываю.
По аналогии с предыдущими сообщениями нарисовал скрипт для avz и выполнил:
Помогло, окно более не вылазит, однако сеть по прежнему не работает. Где копать? Логи анализа avz после того как почистил систему тоже выкладываю.
Важное замечание
Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Последний раз редактировалось Rene-gad; 01.12.2009 в 13:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\Drivers\oeyngtay.SYS','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\oeyngtay.SYS');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Лог после выполнения скрипта.
G:/autorun.inf снес руками.
-
Сообщение от
ghost_
G:/autorun.inf снес руками.
Следы остались, файл Hosts сами правили?
-
-
Junior Member
- Вес репутации
- 53
Нет, но хосты я тоже вычистил, от греха.
Записи хостов, судя по дате модификации, давнишние.
-
Уберем следы, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
Executerepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Сделайте контрольный лог(ст.скрипт №2)
-
-
Junior Member
- Вес репутации
- 53
Свежий лог. Работа сети не восстановлена, установка доп. сетевой ссылается на код 12.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пробовал разными способами, не помогло, включая winsockfix. Однако, вспомнил, что у виндов есть "мастер настройки сети", который заменяет некоторые системные файлы относящиеся к сети. С официального дистрибутива виндов запустил этот мастер. Он помог.
Проблема закрыта, большое спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\oeyngtay.sys - Trojan-Ransom.Win32.Digitala.b ( DrWEB: Trojan.Winlock.508, NOD32: Win32/Sirefef.A trojan, AVAST4: Win32:FakeAlert-FC [Trj] )
-