get accelerator

winxp sp3. После вылета броузера firefox с ошибкой доступа к памяти. Через несколько минут появилась табличка с обратным отсчетом (5 минут) с сообщением о блокировке интернета в связи с нарушением лицензии get accelerator и требованием отправить смс на номер 1350.

Логи avz и hijackthis:

Скачайте новую версию AVZ 4.32, обновите базы и переделайте логи.

Логи после обновления

1. Please, disable System Restore and antivirus (if you have).
2. Execute this script in AVZ:

[CODE]begin
ClearHostsFile;
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{BA5D8DF9-1851-4660-B3AE-89E6E030AC34}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\drivers\zznwieaz.sys','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\drivers\zznwieaz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

After reboot execute this script in AVZ:

[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.[/CODE]

Upload file C:\quarantine.zip, by link [url]http://virusinfo.info/upload_virus.php?tid=62491[/url]

4. Make a new logs.

К сожалению пока проблема до конца не решена, окно вируса снова открывается. Новые логи прилагаю, файл карантин отправляю по ссылке.

Попробуйте в [B]AVZ[/B]-[B]AVZ Guard[/B]-включить [B]AVZ Guard.[/B]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\drivers\smekbhle.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

Огромное спасибо. Окошко больше не выводится, интернет заработал. Логи высылаю. Посмотрите, пожалуйста, все ли чисто - видел в логах упоминание о найденных перехватчиках руткита. Где нибудь можно почитать о действиях этого вируса? Стоит ли менять пароли к сайтам, к которым производился доступ до заражения?

Выполните скрипт в avz
[code]begin
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Новый лог. Из замеченных проблем: стала регулярно зависать usb мышь (восстанавливает работу после перетыкания), команды типа ping, tracert, nslookup выдают странное сообщение об ошибке:

C:\Documents and Settings\User>ping ya.ru
[-] mapping_data_source::init error: file not found

Обмен пакетами с ya.ru [93.158.134.8] по 32 байт:

Ответ от 93.158.134.8: число байт=32 время=6мс TTL=57
Ответ от 93.158.134.8: число байт=32 время=5мс TTL=57

что скажете по поводу C:\WINDOWS\system32\DRIVERS\SandBox.sys он вроде не в той папке лежит в которой должны outpost'овские грабли и размер другой?

Чисто.

[size="1"][color="#666686"][B][I]Добавлено через 49 секунд[/I][/B][/color][/size]

[quote]что скажете по поводу C:\WINDOWS\system32\DRIVERS\SandBox.sys он вроде не в той папке лежит в которой должны outpost'овские грабли и размер другой?[/quote]От Оутпоста.

Спасибо. А из за чего могут быть ошибки о которых писал чуть выше?


"[-] mapping_data_source::init error: file not found"