Get Accelerator

Собственно, был пойман вирус Get-Accelerator, который требует отправить смс на номер 1350. Таймаут — 5 минут.

Комп под Vista x32. Если грохнуть процесс winlogon.exe и заново залогиниться — назойливое окошко пропадает, сеть работает.

Установленный NOD32 вирусы видит — \\.\70.103.101.103\aekgoprn.dll и некий C:\Windows\System32\sdra64.exe, но сделать с ними ничего не может.[B][/B]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile(' C:\Windows\System32\sdra64.exe','');
QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
QuarantineFile('C:\Windows\System32\Drivers\eeeeeeea.SYS','');
DeleteFile('C:\Windows\System32\Drivers\eeeeeeea.SYS');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

Вирус похоже устранен — по крайней мере окна с таймером я больше не вижу.

Попутно накатил все доступные апдейты на винду.

Карантин закачал.

[QUOTE]
Результат загрузки
Файл сохранён как 091202_134519_quarantine_4b16453fe941c.zip
Размер файла 2185141
MD5 c34b4887a5fb56c6de77b9252e9ee381[/QUOTE]

Плохого не видно

Установите SP2 + все новые заплатки

Все ставлю. Однако проблема еще в том, что нет сети. Ни локальной, ни инета. Причем что самое интересное — несколько компьютеров нашлось, но на них не зайти —*«не найден сетевой путь». А шлюз даже не пингуется.

Пробуйте [url]http://virusinfo.info/showthread.php?t=10267[/url]

Да, забыл сказать… файлик .hosts не пишется, его что-то блокирует.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 7 минут[/I][/B][/color][/size]

Да… что-то совсем все грустно. Попробовал почти все способы из ссылки —*ничего не помогло. Причем если раньше, как я писал, перезапуск процесса winlogon убирал с экрана вирусняк и восстанавливал инет — то теперь и это не помогает.

Плюс после сбросов появились ошибки при пинге: PING: сбой передачи. Код ошибки 1231.

Проверьте настройки сети. Попробуйте рекомендации отсюда [url]http://support.microsoft.com/kb/325487[/url]

Вобщем я в итоге забил, все снес и систему заново поднял. По времени получается надо было сразу так делать :)))

Все равно огромное спасибо советовавшим, респект!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\eeeeeeea.sys - [B]Trojan-Ransom.Win32.Digitala.b[/B] ( DrWEB: Trojan.Winlock.508, NOD32: Win32/Sirefef.A trojan, AVAST4: Win32:FakeAlert-FC [Trj] )[/LIST][/LIST]