-
Junior Member
- Вес репутации
- 53
ПО Get Access посреди экрана
Здравствуйте
Словили эту заразу - ПО Get Access. Предлагает отправить смс 861284582 на номер 1350.
Пробовали авастом, DrWeb CureIt - не помогает. Из-под обычного режима запустить avz нельзя - табличка блокирует все нужные окна. Из-под безопасного получилось, отправляю нужные файлы.
Последний раз редактировалось pig; 26.01.2010 в 16:59.
Причина: карантин в теме - моветон
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Попробуйте узнать код разблокировки с помощью вот этого сервиса (или вот этого и вот этого). Если код не поможет, продолжайте по следующим пунктам. Если поможет - переходите сразу к пункту 6.
2. Скачайте вот эту утилиту.
3. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
4. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
Код:
siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
userinit.sys (везде на диске С)
sdra64.exe (везде на диске С)
C:\WINDOWS\TEMP\ (удалить всё в этой папке)
Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
5. После этого запустите скаченный ADSSpy.exe.
5.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
5.2. Нажмите кнопку Scan the system for alternate data stream.
5.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View stream contents.
5.4. Нажмите кнопку Save to disk и сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of .....
5.5. После этого нажмите кнопку Back и для указанных выше двух потоков однозначно нажмите кнопку Remove selected streams, удалив зловредные потоки с машины. Внимание: удалять только те потоки, которые я указал!
5.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
5.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно Правил (Приложение 3).
6. После этого попробуйте загрузить систему и получить полные логи по Правилам.
-
-
Junior Member
- Вес репутации
- 53
Прошел по вашим ссылкам, спасибо, нашел код разблокировки. Однако окно само исчезло, непонятно почему. Возможно попытки лечения оказались небесплодными Смог в нормальном режиме собрать информацию, высылаю.
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('jygofjag');
StopService('Kuh62');
StopService('iaovtvko');
QuarantineFile('C:\WINDOWS\system32\jygofjag.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kuh62.sys','');
QuarantineFile('C:\WINDOWS\system32\iaovtvko.sys','');
DeleteFile('C:\WINDOWS\system32\iaovtvko.sys');
DeleteFile('C:\WINDOWS\system32\jygofjag.sys');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('jygofjag');
BC_DeleteSvc('iaovtvko');
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 53
Сделал, как просили. avz_log.txt не было.
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
DeleteFile('C:\WINDOWS\System32\Drivers\Kuh62.sys');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Kuh62');
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-