Get Accelerator

Здраствуйте. Всё началось когда Get Accelerator попросил отправить СМС чтобы залицензироваться. Он заблокировал интернет в браузерах, хотя в других приложениях интернет работает ( например в клиенте игры "heroesWM" и программы skype. Окошко Get Accelerator'a я убрал с помощью перестановки даты на 2 года вперёд. с помощью AVZ удалил все ключи в реестре с названиями SisZyd32 ( такой процес стоит в моей автозагрузке и не отключается) и файл svchost.exe полностью загружает одно из двух ядер моего процессора.
Высылаю вам логи, сделанные в безопасном режиме со включенным браузером Mozila Firefox

Здравствуйте,

Верните системную дату на место и делайте всё в НОРМАЛЬНОМ режиме.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('Wek06');
StopService('Vdj17');
StopService('securentm');
StopService('Sag63');
StopService('Ryf74');
StopService('Ryf28');
StopService('Rxe30');
StopService('port135sik');
StopService('netsik');
StopService('Krx52');
StopService('i386si');
StopService('Hnt06');
StopService('Bio63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj17.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sag63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe30.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx52.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnt06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio63.sys','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteService('Wek06');
DeleteService('Vdj17');
DeleteService('securentm');
DeleteService('Sag63');
DeleteService('Ryf74');
DeleteService('Ryf28');
DeleteService('Rxe30');
DeleteService('port135sik');
DeleteService('netsik');
DeleteService('Krx52');
DeleteService('i386si');
DeleteService('Hnt06');
DeleteService('Bio63');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj17.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sag63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxe30.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx52.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio63.sys');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('Wek06');
BC_DeleteSvc('Vdj17');
BC_DeleteSvc('securentm');
BC_DeleteSvc('Sag63');
BC_DeleteSvc('Ryf74');
BC_DeleteSvc('Ryf28');
BC_DeleteSvc('Rxe30');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('netsik');
BC_DeleteSvc('Krx52');
BC_DeleteSvc('i386si');
BC_DeleteSvc('Hnt06');
BC_DeleteSvc('Bio63');
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:
- [URL="http://virusinfo.info/upload_virus.php?tid=62349"]Закачайте файл ..\avz\quarantine.zip[/URL] для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[LEFT]Получен ли мой карантин? или загрузки следует повторить?
В proces explorer увидел новый процес, который грузит систему называется wmiprvse.exe
Отсылаю новые логи[/LEFT]

Карантина нет.

[b]AVZ - AVZ Guard - включить AVZ Guard[/b]

Сделайте новый лог [b]virusinfo_syscheck.zip[/b] и приложите к этой теме.
Когда сделаете лог, компьютер [b]не перезагружайте[/b]

Я надеюсь я пытаюсь отослать вам правильный карантин. Я отсылаю вам карантин с путём ...avz\quarantine.zip он весит 22 байта. А по правилам надо отсылать архив из папки ...avz\quarantine\2009-12-04 но поэтому пути у меня в папке с датой ничего нету. поэтому отсылаю вам только ...avz\quarantine.zip . При попытке его отослать я получаю уведомление
[B]Результат загрузки[/B]

[B]Ошибка загрузки. Данный файл уже был загружен[/B]

Отсылаю новый virusinfo_syscheck

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dima\Start Menu\Programs\Startup\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Dima\Start Menu\Programs\Startup\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\pwmxehjq.SYS');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новый virusinfo_syscheck

новый virusinfo_syscheck делать с включенным браузером и AVZ guardom?
Карантин закачал, Извините что без пароля, но я не знаю как создавать запароленный архив

новый virusinfo_syscheck с включённым(в названии присутствует guard_on) и выключенным гвардом
После всех манипуляций вылетел синий экран смерти ссылаясь на uji4mta0.sys

[B]При включенном AVZ Guard[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnt06.sys','');
DeleteService('Hnt06');
QuarantineFile('C:\WINDOWS\System32\Drivers\mevqmwxm.SYS','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\mevqmwxm.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnt06.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

новые логи

[B]AVZ - AVZ Guard - включить AVZ Guard[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dima\av_md.exe','');
DeleteFile('C:\Documents and Settings\Dima\av_md.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
QuarantineFile('C:\WINDOWS\System32\Drivers\tdkiiieo.sys','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\tdkiiieo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новый virusinfo_syscheck

карантин пуст, высылаю новый syscheck

Активируйте AVZGuard: [B]AVZGuard -> включить AVZGuard.[/B]
Подождите минуты три и выполните перезагрузку, не отключая AVZGuard.
Затем создайте новый лог (virusinfo_syscure.zip) и приложите к этой теме.

log

Пишу с заражённой машины. После чистки CCleaner заработал интернет. При этом удалилось порядка 200 мегабайт. Перед тем как обратиться к вам делал чистку, из-за чего вирус и активировался, хотя чистка прошла успешно
Спасибо всем за помощь, Лечение закончено или требуется прислать что-нибудь ещё чтобы удостовериться что лечение прошло успешно?

В логе чисто.

Установите SP3 (может потребоваться активация) + все новые заплатки

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\dima\start menu\programs\startup\siszyd32.exe - [B]Trojan.Win32.Agent.ddfr[/B] ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]