Get-Accelerator

Printable View

15.10.2009, 15:58
MArtar

Get-Accelerator

Get-Accelerator. Окошко с таймером на три минуты, по истечению времени либо синий экран либо виснет система напрочь, либо выключается комп.
убил в процессках explorer.exe затем удалил сам файл, перезапустил систему. Так как самого файла нет, проводник не запустился, зато запускается диспетчер задач, через который можно запустить любую прогу, вот и я запустил таки avz и сделал лог

кстати, при попытке скачать какой либо файл с нета, в любом браузере, вылезает окно Get-Accelerator, якобы идет скачивание но на 100% зависает)
15.10.2009, 16:04
Белый Сокол

[U]Отколючите восстановление системы[/U]!

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\Program Files\NewDotNet\newdotnet3_88.dll','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[COLOR="Red"][B]Прислать запрошенные файлы[/B][/COLOR]" над первым сообщением темы).

Подготовьте новые логи (их должно быть 3).
15.10.2009, 16:40
MArtar

логи

после выполнения скрипта перезагрузился, так как файла explorer не было, я его скопировал с чистой машины, и запустил, опять вышло окно с этой хренью, потом еще один ресет и все в норме, просто были случаи, когда эта фигня сама по себе исчезала, полсе многочисленных ресетов, я тоже не мало перезагружался
15.10.2009, 16:50
Белый Сокол

Сделайте лог GMER по правилам - [url]http://virusinfo.info/showthread.php?t=40118[/url]
15.10.2009, 17:22
MArtar

а че GMER такой долгий?

GMER
15.10.2009, 18:48
Белый Сокол

Сохраните текст ниже как [B]cleanup.bat[/B] в ту же папку, где находится gmer:
[CODE]gmer.exe -del service rotscxodyibrvr
gmer.exe -del file "c:\windows\system32\drivers\rotscxvkilmlkb.sys"
gmer.exe -del file "rotscxwsp8.dll"
gmer.exe -del file "c:\windows\system32\rotscxwyltpkds.dll"
gmer.exe -del file "c:\windows\system32\rotscxbpjgrvpk.dat"
gmer.exe -del file "c:\windows\system32\rotscxtimpqqji.dll"
gmer.exe -del file "c:\windows\system32\rotscxgvknirpr.dat"
gmer.exe -del file "c:\windows\system32\rotscxqpuxvhel.dll"
gmer.exe -del file "c:\windows\system32\rotscxfvnsvnyl.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxodyibrvr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxodyibrvr"
gmer.exe -reboot[/CODE]И запустите cleanup.bat. Компьютер перезагрузится!

Делайте новый лог гмер.
19.10.2009, 10:46
MArtar

скрипт в GMER выполнил.
сегодня с утра новый троян)) WINLOCK.302 с ним я справился.
но есть одно НО. В любом браузере при попытке скачать какой либо файл, вылезает окно GET-Accelerator вместо стандартного окна загрузки браузера. после удаления файла C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll вроде все нормализовалось,
но этот файл был удален с помощью первого скрипта, значит этот файл каким то образом восстанавливается, короче делаю все логи заново
19.10.2009, 10:58
Rene-gad

Вместо того, чтобы вытирать лужи, нужно починить подтекающий кран:
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].

Потом повторите логи.
20.10.2009, 10:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe - [B]P2P-Worm.Win32.Palevo.jaz[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2528569, AVAST4: Win32:MalOb-U [Cryp] )[*] c:\windows\dmgr134.sys - [B]Trojan.Win32.Zapchast.adw[/B] ( DrWEB: Trojan.Winlock.342 )[*] c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - [B]Trojan.Win32.Zapchast.adw[/B] ( DrWEB: Trojan.Winlock.342, BitDefender: Trojan.Generic.2554899, AVAST4: Win32:Malware-gen )[/LIST][/LIST]