Словил Get Access

Printable View

10.01.2010, 12:52
KsKost

Словил Get Access

Словил вирус Get Access 1350.При включении выводит на рабочий стол окно,которое занимает 2/3 экрана.Проверяли Nod'ом,с последними базами-ничего не выловил,AVZ-поймал ветку в реестре-удалил...Заставка пропала,а через час снова появилась.Проверил с помощью AVZ-целостность реестра,с маской поиска *get access.Нашёл две ветки в Control set\Control\Devise Claes\.Ещё в заставке Get Access,в лицензионном соглашении фигурирует фирма ООО "Софт Технология"...Пожалуйста помогите.Прикрепляю логи.
10.01.2010, 12:56
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('\\?\globalroot\systemroot\system32\usеrinit.exe','');
DeleteService('userinit');
DeleteFile('\\?\globalroot\systemroot\system32\usеrinit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=66644[/url]

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
10.01.2010, 13:26
KsKost

Выполнил все ваши инструкции.Загрузил quarantine.zip,через вашу ссылку.Вот новые логи.
10.01.2010, 13:29
Aleksandra

1. пуск - выполнить - sc delete usеrinit

2. Повторите лог [B]virusinfo_syscheck.[/B]
10.01.2010, 13:36
KsKost

Выполнил.Вот лог.
10.01.2010, 13:41
Aleksandra

1. Пофиксите в HijackThis:

[QUOTE]O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINDOWS\system32\usеrinit.exe (file missing)[/QUOTE]

Как фиксить здесь [url]http://virusinfo.info/showpost.php?p=80604&postcount=2[/url]

2. Повторите лог [B]virusinfo_syscheck.[/B]
10.01.2010, 13:50
KsKost

[QUOTE]O23 - Service: userinit - Unknown owner - \\.\globalrootC:\WINDOWS\system32\usеrinit.exe (file missing) [/QUOTE]
А какое название службы в [B]Delete an NT Service-[/B]вводить?
10.01.2010, 13:53
Aleksandra

[QUOTE=KsKost;556758]А какое название службы в [B]Delete an NT Service-[/B]вводить?[/QUOTE]
userinit
10.01.2010, 14:02
KsKost

[QUOTE=Aleksandra;556764]userinit[/QUOTE]
Выскакивает ошибка.
[QUOTE]The service 'userinit' is enabled and/or running.Disable it first,using HijackThis it self (from the scan results) or the Services.msc window.[/QUOTE]
10.01.2010, 14:05
Aleksandra

Еще раз:

[QUOTE]пуск - выполнить - sc delete usеrinit[/QUOTE]

и попробуйте снова.
10.01.2010, 14:08
KsKost

[QUOTE=Aleksandra;556774]Еще раз:

и попробуйте снова.[/QUOTE]
Непомогает...
11.01.2010, 07:53
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteService('userinit');
DeleteFile('\\?\globalroot\systemroot\system32\usеrinit.exe');
RegKeyDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\userinit');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
12.01.2010, 07:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\usеrinit.exe - [B]Trojan-Downloader.Win32.Agent.czbe[/B] ( DrWEB: Trojan.DownLoad1.26801, BitDefender: Trojan.Generic.2956909 )[*] \\?\globalroot\systemroot\system32\usеrinit.exe - [B]Trojan-Ransom.Win32.Digitala.dd[/B][/LIST][/LIST]