get accelerator

[mel0man]

Здравствуйте!
Подцепила сестра на комп эту новомодную заразу, помогите пожалуйста!

[snifer67]

Запустите утилиту в аттаче get.zip,ПК перезагрузится. Повторите логи.

[mel0man]

сделано.

[thyrex]

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\locale.exe','');
DeleteFile('C:\WINDOWS\system32\locale.exe');
 QuarantineFile('C:\Documents and Settings\Алина\Шаблоны\WowTumpeh.com','');
 QuarantineFile('C:\WINDOWS\system32\winsrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\av_md.exe','');
 QuarantineFile('C:\Documents and Settings\Алина\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 TerminateProcessByName('c:\windows\temp\~tmc.tmp');
 QuarantineFile('c:\windows\temp\~tmc.tmp','');
 TerminateProcessByName('c:\windows\system32\av_md.exe');
 QuarantineFile('c:\windows\system32\av_md.exe','');
 DeleteFile('c:\windows\system32\av_md.exe');
 DeleteFile('c:\windows\temp\~tmc.tmp');
 DeleteFile('C:\Documents and Settings\Алина\Главное меню\Программы\Автозагрузка\siszyd32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\av_md.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
 DeleteFile('C:\WINDOWS\system32\winsrv.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
 DeleteFile('C:\WINDOWS\system32\winsrv32.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check');
 DeleteFile('C:\Documents and Settings\Алина\Шаблоны\WowTumpeh.com');
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(16);
Sleep(300);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[mel0man]

Все сделал, табличка вируса пропала, инет заработал, но пропал экзешник мозилы(браузера по умолчанию) его никак не восстановить?

[thyrex]

Чисто. FireFox установите заново

[mel0man]

спасибо!
файрфокс установил, профиль сохранился!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\алина\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bke ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\av_md.exe - Trojan-Dropper.Win32.Agent.bjgv ( DrWEB: Trojan.DownLoad.41506, AVAST4: Win32:HareBot [Trj] )
  3. c:\windows\system32\config\systemprofile\av_md.exe - Trojan-Dropper.Win32.Agent.bjgv ( DrWEB: Trojan.DownLoad.41506, AVAST4: Win32:HareBot [Trj] )
  4. c:\windows\system32\winsrv.exe - Trojan-Spy.Win32.BZub.hqu ( DrWEB: BackDoor.Spy.192 )
  5. c:\windows\system32\winsrv32.exe - Backdoor.Win32.Agent.anjr ( DrWEB: Trojan.PWS.Banker.35398, BitDefender: Trojan.Generic.2892346, NOD32: Win32/Spy.Agent.NQA trojan )
  6. c:\windows\temp\~tmc.tmp - Trojan-Dropper.Win32.HDrop.ad ( DrWEB: Trojan.Proxy.6207, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !