iLite Net Accelerator

**Lestor** · 16.12.2009, 18:24

Вчера поймал этого злобного зверя. Сижу себе никого не трогаю и неожиданно закрываются все программы из трэя, потом браузер... DLL и EXE (siszyd32.exe) удалил вставив хард в другой компьютер. В комплекте с этим зверьком поставлялся еще некий C:\windows\plugin.exe - выводил порно баннер "отправь смс" при заходе в нормальном режиме. iLite Net Accelerator вылезал в безопасном режиме. При загрузке системы вылезала ошибка Jar Instaler приложение svcnost.exe. Где лежал не помню. Кстати этот svcnost.exe появлялся и до этого (недели 2 назад), но был удален. Антивирус - Avast начинал на него кричать, когда я уже нажимал Shift+Del. После этого система заработала (мной были включены реестр, диспетчер и т.д.) и была проверена AVPTool. Трояны удалены\вылечены. Уже сейчас Ad-Aware ругается на C:\WINDOWS\system32\dllcache\notepad.exe

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snifer67** · 16.12.2009, 18:50

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
 QuarantineFile('c:\windows\system32\netprotocol.dll','');
 DeleteFile('c:\windows\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

**Lestor** · 16.12.2009, 19:05

Карантин отправлен. В нем только netprotocol.dll. svcnost.exe в карантине не было. Логи добавлены

**snifer67** · 16.12.2009, 19:35

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

**Lestor** · 16.12.2009, 20:20

Карантин пуст. Пробовал запустить скрипт еще раз. Все равно пусто. Логи готовы

**thyrex** · 17.12.2009, 00:42

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\browsel.dll','');
 QuarantineFile('C:\DOCUME~1\USER~1.B6C\taskmgr.exe','');
 QuarantineFile('c:\windows\system32\msvcrtd.exe','');
 DeleteService('msupdate');
 DeleteFile('c:\windows\system32\msvcrtd.exe');
 DeleteFile('C:\DOCUME~1\USER~1.B6C\taskmgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Task');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Task');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Выполните скрипт из темы http://virusinfo.info/showthread.php?t=43700

Сделайте новые логи

**Lestor** · 17.12.2009, 18:27

Логи. Извиняюсь, забыл выполнить скрипт из темы 43700. Выполнил его после логов

**thyrex** · 17.12.2009, 19:34

Сообщение от Lestor

забыл выполнить скрипт из темы 43700. Выполнил его после логов

Больше плохого не видно. Что с проблемой?

**Lestor** · 17.12.2009, 20:01

Вроде внешних признаков нет. Но хотелось бы знать как в дальнейшем защититься от подобной проблемы. В качестве браузера использую мозилу с adblock и noscript. Вирус поймал вероятнее всего в серфинге SafeSurf. Раньше с ним проблем не было. Использую уже месяца 4 каждый день. Поможет ли использование песочницы (Sandboxie)? Раньше ее почему то не использовал. Но похоже она не шибко помогает. Почему то кажется что вирус залез через acrobat reader. Видел его непрошенного в процессах.
Стоят бесплатный Avast, Ad-Aware. Где то раз в неделю проверяюсь AVZ.

**thyrex** · 17.12.2009, 20:44

Кое-какой мусор зачистим еще

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O2 - BHO: (no name) - {77B6940A-ED7A-478B-8B38-291F7B0D1192} - C:\WINDOWS\system32\browsel.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Установите Internet Explorer 8
Установите Adobe Acrobat 9.2 или удалите старый
Обновите JavaRE

Логи больше не требуются

Почитайте http://virusinfo.info/showthread.php?t=30339

**CyberHelper** · 18.12.2009, 20:44

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\netprotocol.dll - Packed.Win32.Krap.ai ( DrWEB: Trojan.Click.37869, BitDefender: Gen:Trojan.Heur.P.cq4@fetIwAmi, AVAST4: Win32:Crypt-FPH [Trj] )

iLite Net Accelerator (заявка № 63973)

Опции темы

iLite Net Accelerator

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

ILite Net Accelerator

iLite Net Accelerator

iLite net Accelerator

Ilite Get accelerator

Лечила iLite Net Accelerator

Ваши права в разделе