Get Accelerator

Printable View

10.12.2009, 14:10
korma

Get Accelerator

Помогите! Поймала вирус Get Accelerator. По всей видимости, избавиться от серой таблички удалось Cureit и сбросом всех настроек IE (хотя давно им не пользуюсь). Но вирус/ ы все-таки сидят в системе, слишком тормозит и любая проверка антивиром находит новые... Буду признательна за помощь.
Мои файлы:
10.12.2009, 14:28
Шапельский Александр

Сделайте лог MBAM
10.12.2009, 16:15
korma

Вложений: 1

высылаю лог MBAM

Просканировала [B]Malwarebytes Antimalware.
[B]Лог скана прилагаю.[/B]
[/B]
10.12.2009, 16:34
Шапельский Александр

Удалите в MBAM следующее
[CODE]Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{bbd4551a-9b23-41cd-9bcd-818aa2da7b63} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bbd4551a-9b23-41cd-9bcd-818aa2da7b63} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bbd4551a-9b23-41cd-9bcd-818aa2da7b63} (Trojan.FakeAlert) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netsik (Rootkit.Agent) -> No action take
Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
C:\Documents and Settings\Elena\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
[/CODE]
Как удалять см. здесь [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]http://virusinfo.info/showpost.php?p=493584&postcount=2[/URL]
Сделайте новый лог MBAM
11.12.2009, 12:10
korma

Вложений: 1

результаты MBAM

Удалила указанное. выкладываю новый лог.
11.12.2009, 12:27
Шапельский Александр

Удалить в MBAM следующее
[CODE]C:\WINDOWS\system32\lowsec (Stolen.data) -> Not selected for removal.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Not selected for removal.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Not selected for removal.[/CODE]
Сделайте новый лог MBAM
11.12.2009, 15:50
korma

новый log

Высылаю новый log
11.12.2009, 16:52
Шапельский Александр

В логе чисто, что с проблемой?
14.12.2009, 09:37
korma

Проблема решена, спасибо!
Но остался вопрос: в записи об автозагрузке (msconfig) остались висеть av_md.exe, syszid32.exe (следы от Get Accelerator). Они отключены, но напрягают, что упоминания о них есть
14.12.2009, 10:08
Шапельский Александр

[QUOTE=korma;534201]Проблема решена, спасибо!
Но остался вопрос: в записи об автозагрузке (msconfig) остались висеть av_md.exe, syszid32.exe (следы от Get Accelerator). Они отключены, но напрягают, что упоминания о них есть[/QUOTE]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
14.12.2009, 14:18
korma

Вложений: 3

новые логи

Высылаю новые логи.
Есть еще подозрение, что какой-то из процессов/ вирусов (?) сжирает трафик...
14.12.2009, 16:48
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\7886f9a3fbb3af8ad6\update\wpdinstallutil.dll','');
QuarantineFile('D:\7886f9a3fbb3af8ad6\update\update.exe','');
QuarantineFile('C:\Program Files\SPSS\spsswspc.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
[QUOTE]Есть еще подозрение, что какой-то из процессов/ вирусов (?) сжирает трафик...[/QUOTE]
У Вас установлена эта программа: C:\Program Files\ErrorSmart\ErrorSmart.exe - это сомнительная прога, лучше удалить, предполагаю, что это ее процессы. Тем более, что она присутствует в планировщике заданий, и периодически запускается на исполнение.
16.12.2009, 16:16
korma

Карантин отправила, ErrorSmart удалила.
16.12.2009, 16:22
Шапельский Александр

Дождемся вердикта аналитиков
16.12.2009, 16:25
snifer67

Карантин чист.
16.12.2009, 16:53
Шапельский Александр

Что с проблемой?
16.12.2009, 17:12
korma

спасибо!
Avz так и определяет в spsswspc.dll подозрение на Trojan.Clicker, но все работает даже быстрее, чем до вируса:-)
Спасибо огромное
17.12.2009, 17:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]