Опять Get Accelerator

Printable View

01.12.2009, 13:14
AnTi_ViRuS

Опять Get Accelerator

Зловредный вирус, уже многим известный get accelerator. Блокирует доступ в интернет. Требует отправить сообщение на номер 1350. Куреит поработал, потом нод32 нашли около 30 вирусов:) Не смогли устранить это серое окошко. Помогло то, что на компе переставили дату на месяц назад. Тогда смог выйти в интернет. Осталось прибить этот гадский вирус.
01.12.2009, 13:30
Ingener

1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('GarenaPEngine');
DeleteService('synsend');
DeleteService('FXDrv32');
DeleteService('bqapzleqtz');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\QDL8.tmp','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll','');
QuarantineFile('D:\FXDrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\outbegnwol.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aijjmhbn.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\aijjmhbn.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\outbegnwol.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('D:\FXDrv32.sys');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\QDL8.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
DelCLSID('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Обновите базы AVZ.
4) Сделайте новые логи.
02.12.2009, 20:23
AnTi_ViRuS

спасибо большое, окна вроде нет, все чисто, дату вернули :) Новые логи прилагаю вместе с новым вопросом: какаято ошибка - память не может быть writen. Не связано ли это с вирусами? (все происходит на компьютере друга а у него антивирус полгода не обновлялся - ваще фигова). Если закрывать ошибку все виснет ваще ничего не работает приходится перезагружать с помощью кнопки. Но его мона игнарировать - просто перетащить в угол и живи спокойно :D Но беспокоит. Проверьте пожалуйста. Карантин выслал.
03.12.2009, 09:10
Ingener

В этих логах чисто.

Для контроля сделайте ещё такие логи:
- [url]http://virusinfo.info/showthread.php?t=40118[/url]
- [url]http://virusinfo.info/showthread.php?t=53070[/url]

Для устранения проблемы "память не может быть writen" - попробуйте рекомендации, описанные в этой статье: [url]http://www.playlands.ru/publ/5-1-0-48[/url]
27.12.2009, 20:27
AnTi_ViRuS

++лог из малваре. Гмер не идет!! Незнаю почему но пишет ошибку и предлагает отправить микрософту (как всегда). Как справляца? Да еще нью ошибка после которой комп реально зависает и же никак кроме кнопки не перезапускается. что делать? (извиняюсь, что так долго не было перебои в работе интернета :-( только щас подключили)
27.12.2009, 21:10
snifer67

[quote]Как справляца? [/quote]
Защитное ПО надо выгружать.

Удалите в [url=http://virusinfo.info/showpost.php?p=493584&postcount=2]mbam [/url]
[code]
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.

[/code]
Сделаете новый лог mbam
28.12.2009, 21:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]