Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

GetAccelerator - продолжается бой (заявка № 62979)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53

    Thumbs up GetAccelerator - продолжается бой

    Честно говоря сначала думал, что "дитё" поставил очередную приблуду, из тех что при установке игр помечаются по умолчанию маленькой галочкой..
    Удалил из реестра раздел с упоминанием Get Accelerator, Avast удалял подозрительные файлы типа BM2.tmp из Windows/TEMP.. Окно с требованием SMS исчезло. Однако при выключении пишет "установить обновления" и если установить, окно возникает вновь. Еще раз Avast сделал вид, что удалил трояны. Окна акселератора нет, но firefox работает неадекватно, открывает пустые окна или открывает ссылки со второго клика, ругается на AC_RUnActiveContent.js.. Впечатление, что keyloger очень хочет обратить на себя внимание 8-)
    Помогите плиз скриптом!
    И все-таки как это дело попало на комп?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    R3 - URLSearchHook: (no name) - - (no file)
    O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

    В AVZ выполните скрипт(дождитесь завершения выполнения):

    Код:
    begin
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\av_md.exe');
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     Sleep(180);
     QuarantineFile('C:\ETKA\PROG\star_prn.pif','');
     QuarantineFile('C:\SYSTEM\logo-lex-pex.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe','');
     QuarantineFile('E:\TEMP\KSSWare Extended IP Filter & Monitor is 2.6.2803\IPFilter_x86.sys','');
     QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe','');
     QuarantineFile('c:\program files\topro\tp6810\tppoll10.exe','');
     QuarantineFile('c:\windows\system32\av_md.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     DeleteFile('c:\windows\system32\av_md.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\Documents and Settings\Администратор\av_md.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',3,3,true);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.
    Последний раз редактировалось миднайт; 09.12.2009 в 02:27.

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    Ночью поработал kaspersky virus removal tool:
    нашел Backdoorw32HareBot.alo и TrojanWin32.Inject.alxu
    удалил ..\system32\av-md.exe
    вот что получилось - прикрепил
    надо ли выполнять теперь ваш скрипт?
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Запустите утилиту в аттаче get.zip,ПК перезагрузится. Повторите логи.
    Вложения Вложения
    • Тип файла: zip get.zip (696 байт, 8 просмотров)

  6. #5
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    сделано
    вот

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Активируйте AVZGuard: AVZGuard -> включить AVZGuard.
    Подождите 3 минуты и выполните перезагрузку, не отключая AVZGuard.

    После перезагрузки выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\av_md.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    скрипт выполнил
    но av_md уже нигде не виден.. его прибил kaspersky virus removal tool
    drWebCureIt нашел еще 6 троянов
    но проблемы остаются при включении интернета
    - появляются скрытые драйверы со случайным названием типа ijaerlai.sys iuyuqjai.sys dkiibjea.sys..и
    - __70.103.101.103\aekgoprn.dll (в карантин не кладется)
    - просит установить обновления при выключении

    чего-то я запутался уже, поясните плиз с чем мы сейчас боремся?
    может уже восстановить раздел из копии (майской к сожалению)? но не уверен уже, что там чисто...

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Акселератора не видно. Выполните фиксы в hjt из сообщения #2.
    В AVZ выполните скрипт
    Код:
    begin
    ExecuteWizard('TSW',3,3,true);
    end.
    обновите java, acrobat(abobe) reader.
    Лог virusinfo_syscure.zip нужно было делать отключившись от интернета и выгрузив все приложения. Это сделано не было.
    сделайте лог Gmer

  10. #9
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    выполнил последние рекомендации, вроде чисто
    Gmer прошел до конца, до этого вылетал в BSOD 0x0..BE ffecqpob.sys,
    боюсь, если установить обновления при выключении, все повториться..

  11. #10
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    acrobat reader - обновлений нет
    java стояла последняя 07.12.09

    выключить с установкой обновлений?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Выполните скрипт в AVZ:

    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\system32\drivers\tcpip.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\atapi.sys','');
    BC_importquarantinelist;
    bc_activate;
    ExecuteWizard('TSW',3,3,true);
    rebootwindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip'); 
    end.
    Пришлите карантин quarantine1.zip по красной ссылке Прислать запрошенный карантин вверху темы

    проверьтесь этой утилитой http://support.kaspersky.ru/viruses/...?qid=208636926

    Сканирование cureit делали в безопасном режиме?

  13. #12
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    скрипты выполнил
    Файл сохранён как 091211_001134_quarantine_4b216406d408c.zip
    Размер файла 208717
    MD5 7504d752f15355abcee5e9b85cf7fc81

    cureIt делал в безопасном режиме без сети
    TDSSKiller сейчас попробую
    DrWeb LiveCD не пошел: загрузился и написал, что нет CD..
    а вот кусок из WindowsUpdate.log - как я понял не все смогло установиться

  14. #13
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    Вот лог TDSSKiller ничего нет написал

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сделайте лог MBAM

  16. #15
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    первый раз MBAM завис при сканировании - перегрузил reset-ом
    сделал еще раз MBAM (без интернета, avast приостановлен) прикреплено
    в C:\Documents and Settings\Администратор появился файл oashdihasidhasuidhiasdhiashdiuasdhasd
    avast находит C:\WINDOWS\system32\drivers\hfothlia.sys

    обновление опять хочет попытаться поставить:
    953297 - Последнее изменение :: 15 октября 2009 г. - Редакция: 1.0
    MS06-061: Описание обновления для системы безопасности для Microsoft .NET Framework 1.1 с пакетом обновления 1 (SP1), 13 октября 2009 г.

    чего дальше делаем?
    Последний раз редактировалось Lontrel; 11.12.2009 в 13:46.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Удалите в mbam:

    Код:
    Заражено значений реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
    Заражено файлов:
    C:\Documents and Settings\Администратор\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    повторите лог mbam

  18. #17
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    MBAM новый лог
    Обновление так и не проходит..

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В логе плохого не нашел.
    Возможно сбиты настройки у вас.
    http://support.microsoft.com/kb/900936
    Окно с "отправьте смс" не появляется больше?

  20. #19
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    11
    Вес репутации
    53
    Окно отправить sms не появляется
    обновления то грузятся, но не все устанавливаются
    на выключении постоянно висит - установить ообновления
    avast удалил hfothlia.sys как троян Win32:FakeAlert-FC [Trj]

    видимо с getacceleratorom покончено

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Lontrel Посмотреть сообщение
    обновление опять хочет попытаться поставить:
    Снимите с него галочку и согласитесь на то, чтобы его больше не предлагали установить.

  • Уважаемый(ая) Lontrel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Лечение продолжается...
      От NightStranger в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.12.2009, 22:35
    2. Ответов: 8
      Последнее сообщение: 05.12.2009, 19:11
    3. Спам продолжается.
      От kzenz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00520 seconds with 20 queries