Get Accelerator

Printable View

Показывать 40 сообщений этой темы на одной странице

17.11.2009, 20:15
Chack

Вложений: 2

Get Accelerator

Программа блокирует доступ в интернет.
Пишет что нарушил лицензионное соглашение программы get accelerator.
Просит отправить смс, и ввести код.
Подозрительные файлы: ikowin32.exe и photo_id
Прошу помогите, уже не знаю что делать :(
17.11.2009, 21:33
light59

Обновите базы AVZ (файл- обновление баз)
Логи переделать.
17.11.2009, 21:48
Chack

Не могу обновить базу, выдает ошбку... Интернет не работает.
[IMG]http://s44.radikal.ru/i104/0911/d2/792968e91431.jpg[/IMG]

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Обновил через другой компьютер, сейчас буду делать логи.
17.11.2009, 21:48
Ingener

1) выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\WINDOWS\aekgoprn.sys','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\winsrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\suserv.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv491254042811.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
DeleteService('appdrvrem01');
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
TerminateProcessByName('c:\windows\temp\wpv491254042811.exe');
QuarantineFile('c:\windows\temp\wpv491254042811.exe','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\winsvc.exe');
QuarantineFile('c:\documents and settings\admin\application data\microsoft\winsvc.exe','');
TerminateProcessByName('c:\windows\system32\suserv.exe');
QuarantineFile('c:\windows\system32\suserv.exe','');
TerminateProcessByName('c:\windows\system32\photo_id.exe');
QuarantineFile('c:\windows\system32\photo_id.exe','');
TerminateProcessByName('c:\program files\oovoo\oovoo.exe');
DeleteFile('c:\windows\system32\photo_id.exe');
DeleteFile('c:\windows\system32\suserv.exe');
DeleteFile('c:\documents and settings\admin\application data\microsoft\winsvc.exe');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('c:\windows\temp\wpv491254042811.exe');
DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winsvc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ikowin32.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connection Wizard Setup Tool');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\appdrvrem01','EventMessageFile');
DeleteFile('C:\WINDOWS\Temp\wpv491254042811.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS\system32\suserv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','suserv');
DeleteFile('C:\WINDOWS\system32\winsrv32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\aekgoprn.sys');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFileMask('C:\PROGRA~1\FieryAds\','*.*',true);
DeleteDirectory('C:\PROGRA~1\FieryAds\');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Выполните скрипт из этой темы: [url]http://virusinfo.info/showthread.php?t=43700[/url]
4) Эти программы вам знакомы?
[QUOTE]D:\Programs\SAMBC\SAMBC.exe
D:\Programs\KVIrc\kvirc.exe
D:\Programs\DoS-HTTP\DoSHTTP.exe
C:\Program Files\AmlMaple\AmlMaple.exe
C:\Program Files\FlashFXP\FlashFXP.exe
c:\program files\oovoo\oovoo.exe[/QUOTE]
5) Повторите логи.
17.11.2009, 21:50
Chack

Мне обновлять базу, или сначала попробовать выполнить скрипты?

D:\Programs\KVIrc\kvirc.exe
D:\Programs\DoS-HTTP\DoSHTTP.exe
Эти программы не знакомы...
Остольные да.
17.11.2009, 21:53
Ingener

Выполняйте мои рекомендации по порядку, потом обновите базы (до того как делать новые логи) и потом сделайте новые логи.
17.11.2009, 21:55
Chack

Выполнил первый скрипт, окно пропало.
Остольные пункты выполнять?
17.11.2009, 21:58
Ingener

[QUOTE]Остольные пункты выполнять?[/QUOTE]
Обязательно.
[QUOTE]Куда сохраняется quarantine.zip?[/QUOTE]
В папку с AVZ.
17.11.2009, 22:03
Chack

quarantine.zip, закачал, сейчас выолню следуйщие действия.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Все дейстивя выполнил, выполняю скрипты 2,3.
После алью логи.
17.11.2009, 22:20
Chack

Выполнил скрипты, вот логи.
17.11.2009, 22:52
Ingener

1) выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\uPlayMe\plugins\MSIE.dll','');
QuarantineFile('F:\winsvc.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\Pinch Editor 2.99.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\crypt\crypt.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\ImtaleFA\Imtale 4.1.2\Imtale 4.1.2\IMtale.exe','');
QuarantineFile('D:\Programs\MA\Mra\dll\newmrasearch.dll','');
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
DeleteFile('D:\Programs\MA\Mra\dll\newmrasearch.dll');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\winsvc.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) сделайте новые логи: virusinfo_syscheck.zip и hijackthis.log
4) программу RAdmin сами ставили?
Это что такое?
[QUOTE]C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\Pinch Editor 2.99.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\crypt\crypt.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\ImtaleFA\Imtale 4.1.2\Imtale 4.1.2\IMtale.exe[/QUOTE]
5) опешите состояние операционной системы - есть ли какие-нибудь проблемы.
17.11.2009, 23:38
Chack

[QUOTE='Ingener;510852']4) программу RAdmin сами ставили?
Это что такое?
Цитата:
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\Pinch Editor 2.99.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\crypt\crypt.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\ImtaleFA\Imtale 4.1.2\Imtale 4.1.2\IMtale.exe [/QUOTE]

Компьютер просто не мой, друга был, сам не чистил, вот только забралу него, и сразу вирус подхватил...
Сейчас выполню скрипты, и отпишу.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Файл quarantine.zip залил, сейчас сделаю новые логи и залью.
Компьютер пока вроде тьфу, тьфу ничего.
Спасибо большое...
Только вот при перезагрузке компьютера почему то папка system32 открывается все время...
17.11.2009, 23:55
Ingener

[QUOTE]Файл quarantine.zip залил[/QUOTE]
Пока карантин мы не получили - попробуйте залить ещё раз (если не получится - переименуйте архив с карантином и попробуйте ещё раз).
[QUOTE]Только вот при перезагрузке компьютера почему то папка system32 открывается все время...[/QUOTE]
Сейчас по новым логам посмотрим в чём дело.
17.11.2009, 23:58
Chack

Сделал логи.
18.11.2009, 00:05
Chack

Загрзил заного quarantine.zip
18.11.2009, 00:19
Ingener

[QUOTE]Загрзил заного quarantine.zip[/QUOTE]
Ок. Получили.

1) Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: MSIEPlugin - {4B0FAF5A-67C4-4625-AE07-B0DBADA16EBF} - C:\Documents and Settings\All Users\Application Data\uPlayMe\plugins\MSIE.dll (file missing)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)[/CODE]
2) Выполните скрипт В AVZ:
[CODE]begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/CODE]
Компьютер перезагрузится.
3) Опишите повторяется ли проблема с открытием папка system32 при перезагрузке.
4) Сделайте такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
18.11.2009, 00:28
Chack

Сделал первые 2 пункта, компьютер перезагрузился, но проблемма осталася, 4 пункт выполнить?
18.11.2009, 00:33
Ingener

[QUOTE]4 пункт выполнить?[/QUOTE]
Да, конечно.
18.11.2009, 00:44
Chack

Ingener, пришлю лог завтра с утра, сейчас ухожу...
Спасибо вам большое.
18.11.2009, 17:25
Chack

Лог программы Malwarebytes Antimalware..

Показывать 40 сообщений этой темы на одной странице