Get Accelerator

Printable View

27.11.2009, 21:42
ShoSho

Вложений: 1

Get Accelerator

Добрый день.

Словил вирус Get Accelerator, заблокировавший интернет. От окна, назойливо висевшего на экране я избавился, изменив систмное время..интернет тже заработал.
Но хочется избавится от вируса. Скачал AVZ и HiJack, но AVZ не запускается (даже в безопасной загрузке). Так что имею только лог hijack.

Также, замечу, что Internet Explorer полсле вируса работает не стабильно - закрывается с ошибкой или не открывается вовсе

Надеюсь на вашу помощь!
27.11.2009, 21:54
Ingener

Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Web 2.0 Ajax support - {190BE10B-13BB-4A9C-BE00-EBDEC0520AA5} - C:\WINDOWS\system32\wajxsreg.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)[/CODE]
Перезагрузите компьютер.

Переименуйте AVZ (avz.exe) в pifpaf.pif - после этого AVZ должна запуститься - сделайте все логи по правилам.
27.11.2009, 22:31
ShoSho

К сожалению переименование avz.exe в pifpaf.pif не принесло результата - AVZ не запустилось

В HiJack пофиксил, что было сказано - новый лог прилагается
27.11.2009, 22:40
Ingener

Попробуйте сделать логи таким AVZ: [url]http://narod.ru/disk/12203190000/avz.exe.html[/url]
При неудачной попытке запуска AVZ попробуйте сделайте такие логи:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
[url]http://virusinfo.info/showthread.php?t=53070[/url]
27.11.2009, 23:21
ShoSho

К сожалению не запустилось ничего...
AVZ и Gmer при запуске на секунду показывали клипсидру загрузки и на этом все заканчивалось.
Malwarebytes' Anti-Malware запустился и через пару секунд без слов свернулся
27.11.2009, 23:51
thyrex

Пробуйте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
28.11.2009, 00:03
Ingener

1) Проверьте компьютер с помощью AVPTool или CureIt! [URL="http://virusinfo.info/showthread.php?t=9279"]в безопасном режиме[/URL]. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого перезагрузитесь в обычный режим.
2) Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Перезагрузите компьютер.
3) Попробуйте сделать логи (переименовывать программы попробуйте).
4) В редакторе ресстра (Пуск - Выполнить - regedit.exe) - найдите этот ключ реестра:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options[/CODE]
нажмите на нём правой кнопкой мыши и выбирите "экспортировать" - укажите имя файла и папку для сохранения.
Упакуйте полученный файл в архив и приложите к вашему следующему сообщению.
5) Аналогично пункту 4 экспортируйте и приложите к вашему следующему сообщению этот ключ реестра:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
28.11.2009, 12:26
ShoSho

Ingener, огромное пасибо за помощь.
Сумел запустить AVZ. Логи прилагаю
28.11.2009, 12:59
Ingener

1) Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)[/CODE]
2) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
4) Обновите базы AVZ.
5) Сделайте новые логи: virusinfo_syscheck.zip + hijackthis.log.
28.11.2009, 13:21
ShoSho

Все сделал.
Логи прикрепил Единственное, что не смог обновить AVZ - опция недоступна, т.е. ее нельзя нажать
28.11.2009, 13:30
Ingener

Пофиксите в HijackThis:
[CODE]O20 - AppInit_DLLs: winmm.dll[/CODE]

В логах чисто.
Проблема полностью устранена?

Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: [url]http://virusinfo.info/showthread.php?t=30339[/url]
28.11.2009, 14:43
ShoSho

Ingener,
проблема полностью решена. Огромное спасибо за внимательное отношение
29.11.2009, 14:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]