Get Accelerator

Printable View

Показывать 40 сообщений этой темы на одной странице

03.12.2009, 00:52
Len0re

Get Accelerator

Появилось прозрачное окошко "доступ в интернет заблокирован", вирус удалил Firefox
помогите, плз
03.12.2009, 02:53
Никита Соловьев

[B]1. Обновите базы AVZ (меню: файл --> обновление баз)[/B]

[B]2. Выполните скрипт в AVZ:[/B]
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
QuarantineFile('C:\Driver\Files\zerX.exe','');
QuarantineFile('C:\Documents and Settings\Atargat\av_md.exe','');
QuarantineFile('C:\Documents and Settings\Atargat\Start Menu\Programs\Startup\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Atargat\Start Menu\Programs\Startup\siszyd32.exe');
DeleteFile('C:\Documents and Settings\Atargat\av_md.exe');
DeleteFile('C:\Driver\Files\zerX.exe');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
DeleteFile('C:\Documents and Settings\Atargat\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('G:\autorun.inf');
DeleteFileMask('C:\Driver','*.*',true);
DeleteDirectory('C:\Driver');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer SERVICE');
BC_ImportDeletedList;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
SetAVZPMStatus(true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

[B]3.[/B] Файл [B]quarantine.zip[/B] из папки AVZ закачайте по [B][U][COLOR="Red"]ссылке прислать запрошенный[/COLOR][/U][/B] карантин вверху темы

[B]4.[/B] Повторите пункт [I]диагностика[/I] правил и прикрепите новые логи
03.12.2009, 09:19
Len0re

Вложений: 3

Обновить AVZ не удалось, т.к из-за вируса инета нет
После выполнения скрипта и перезагрузки окно осталось и инета нет
03.12.2009, 09:49
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\burito4304-37aa.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nbsxekxe.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\nbsxekxe.SYS');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин
Сделать заново логи.
03.12.2009, 17:20
Len0re

выполнила скрипт, проблема осталась :(
03.12.2009, 17:45
PavelA

[url]http://virusinfo.info/showthread.php?t=40120[/url]
Сделайте лог при помощи этой программы.
03.12.2009, 18:03
Len0re

ок, сделала
03.12.2009, 21:02
PavelA

C:\WINDOWS\System32\Drivers\eelvleao.SYS
Поступим так: Открываем ROOTREPEAL, ищем в нем что-нибудь подобное, и делаем ему Wipe File.
после этого делаем логи AVZ
03.12.2009, 21:05
snifer67

+ к [B]PavelA[/B],

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
03.12.2009, 21:24
Len0re

при попытке wipe'нуть eelvleao.SYS появляется месседжбокс Couldn't find file on disk. upd Удалила Get Accelerator с помощью jv16 Power Tools, как предлагалось в этом посте [URL]http://virusinfo.info/showpost.php?p=522145&postcount=40[/URL]. После перезагрузки исчезло это замечательное окошко, но драйвер, теперь уже mutdnura.sys не wipe'ается. Сейчас сделаю свежие логи.
03.12.2009, 22:47
Len0re

Да, и еще теперь инет работает :)
03.12.2009, 22:58
PavelA

Все осталось на месте. AVPTool деинсталируйте.
Затем выполните станд скрипт №2. В текстовой части лога будет ссылка на два
файла с расширением sys. Их надо будет попытаться удалить через ROOTREPEAL

Примерный текст про эти драйвера:
>> Маскировка драйвера: Base=F799F000, размер=45056, имя = "\SystemRoot\System32\Drivers\mutdnura.SYS"
Прямое чтение C:\WINDOWS\system32\drivers\dkzlwmua.sys
03.12.2009, 22:58
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\dkzlwmua.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\dkzlwmua.sys');
QuarantineFile('C:\WINDOWS\system32\Drivers\mutdnura.SYS','');
DeleteFile('C:\WINDOWS\system32\Drivers\mutdnura.SYS');
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Documents and Settings\Atargat\Application Data\AdSubscribe\AdSubscribe.dll','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\burito4304-37aa.sys','');
DeleteService('burito4304-37aa');
DeleteFile('C:\WINDOWS\system32\burito4304-37aa.sys');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Atargat\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFileMask('C:\Documents and Settings\Atargat\Application Data\AdSubscribe', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Atargat\Application Data\AdSubscribe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
03.12.2009, 23:46
Len0re

[QUOTE='PavelA;524738']Затем выполните станд скрипт №2. В текстовой части лога будет ссылка на два
файла с расширением sys. Их надо будет попытаться удалить через ROOTREPEAL[/QUOTE]
ROOTREPEAL не видит тот файл, который "прямое чтение", а второй - тоже самое сообщение "Coudn't find file on disk".
Выполнила скрипт в AVZ, но драйвера остались. Логи сейчас в процессе создания
04.12.2009, 00:10
Len0re

Карантин загрузила (Файл сохранён как 091203_235807_Quarantine_4b18265faa861.zip)
04.12.2009, 08:24
snifer67

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=58309[/url]
04.12.2009, 11:41
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\mjejicxt.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mjejicxt.sys');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\zwxevanz.SYS','');
DeleteFile('C:\WINDOWS\system32\Drivers\zwxevanz.SYS');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\aekgoprn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
05.12.2009, 22:16
Len0re

вот логи avz и ComboFix'а
05.12.2009, 22:20
snifer67

Активируйте AVZGuard:
AVZGuard -> включить AVZGuard.
Подождите минуты три и выполните перезагрузку, не отключая AVZGuard.
Затем создайте новый лог (virusinfo_syscure.zip) и приложите к этой теме.
06.12.2009, 01:12
Len0re

Похоже эти замечатльные драйвера все-таки удалились :)

Показывать 40 сообщений этой темы на одной странице