Get Accelerator

Printable View

02.12.2009, 17:53
Helen_K

Get Accelerator

Вирус появился вчера, заблокировал доступ в интернет, запросил код. Если это важно, надо было отправить СМС с текстом 262010753 на номер 1350. При изменении даты на компе интернет заработал. Удалила Ga/Get Accelerator с помощью программы jv16PowerTools, окно с запросом СМС исчезло, интернет тоже работает, но комп тормозит и Касперский находит 10 троянов, из них 3 удаляются, остальные нет. CureIt нашел и удалил несколько вирусов. Помогите, пожалуйста!
02.12.2009, 17:57
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Helen\av_md.exe','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Helen\av_md.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
02.12.2009, 18:44
Helen_K

Скрипт выполнила.
В карантине ничего нет, AVZ -> "Файл" -> "Просмотр карантина" - пусто. Я что то не так делаю?
Логи отправляю.
02.12.2009, 19:00
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
QuarantineFile('C:\Documents and Settings\Helen\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\Documents and Settings\Helen\Application Data\elefundesktops\_wallpaper\wallpaper.exe','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Helen\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
02.12.2009, 19:32
Helen_K

Карантин отправила, логи сделаны.
02.12.2009, 21:27
Helen_K

Добрый вечер! Подскажите, мой карантин получен? Или загрузить еще раз?
02.12.2009, 21:50
snifer67

Выполните скрипт в avz
[code]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

делайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
02.12.2009, 22:29
Helen_K

Спасибо! Все сделано.
Появились проблемы с интернетом - некоторые страницы не откррываются.
Вот лог:
02.12.2009, 23:54
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xjagghtw.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\guznkmjp.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\guznkmjp.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\xjagghtw.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
03.12.2009, 00:39
Helen_K

[FONT=Times New Roman]Файл сохранён как[/FONT]
[FONT=Times New Roman]091203_003809_virus_4b16de41a66f0.zip[/FONT]
[FONT=Times New Roman]Размер файла[/FONT][FONT=Times New Roman]48186[/FONT]
[FONT=Times New Roman]MD5[/FONT][FONT=Times New Roman]4c0b0f814faf957b7a78531cdb69cc6f[/FONT]

Логи:
03.12.2009, 00:50
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xmmanmyz.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\xmmanmyz.SYS');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
03.12.2009, 13:14
Helen_K

Файл сохранён как091203_131256_virus_4b178f28f0d1b.zip
Размер файла48193
MD5bcfcd8cd57b1914ba93f35f1efe8ee57

Логи:
03.12.2009, 14:57
thyrex

Пофиксите в HiJack
[CODE]O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ezenlunz.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ezenlunz.sys');
QuarantineFile('C:\WINDOWS\System32\Drivers\ozdfpjgn.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\ozdfpjgn.SYS');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
03.12.2009, 15:59
Helen_K

Спасибо что помогаете!
Карантин отправила.

Файл сохранён как091203_155725_virus_4b17b5b5e5834.zip
Размер файла48190
MD5cb1f14cc981db011fce172c222a502c4

Логи:
03.12.2009, 17:17
thyrex

Сложный случай. Решения пока не найдено...
03.12.2009, 18:22
Helen_K

:( надеяться можно или лучше сразу переустановить винду?
03.12.2009, 18:34
snifer67

Попробуйте удалите файлы [B]C:\WINDOWS\System32\aekgoprn.dll[/B] и [B]System32\Drivers\efxozvmn.SYS[/B](имя может быть другое) как написано здесь [url]http://virusinfo.info/showthread.php?t=17228[/url]
03.12.2009, 19:27
Helen_K

Я не могу даже скачать программу, половина страниц не открывается, открываются только некоторые страницы из избранного и ссылки на них работают выборочно(((
03.12.2009, 19:42
pig

Найдите чистый компьютер, скачайте на нём, перенесите через флэшку или болванку.
03.12.2009, 20:12
snifer67

Попробуйте скачать отсюда [url]http://ifolder.ru/6493654[/url]
03.12.2009, 23:11
Helen_K

Нет файлов с таким именем. Искала через find files сначала в system32, потом на всем диске С.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 46 минут[/I][/B][/color][/size]

Что то еще можно сделать?
04.12.2009, 23:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\helen\главное меню\программы\автозагрузка\siszyd32.exe - [B]Backdoor.Win32.Bredolab.bdr[/B] ( DrWEB: Trojan.Botnetlog.88, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\xjagghtw.sys - [B]Trojan-Ransom.Win32.Agent.hy[/B] ( DrWEB: Trojan.Winlock.516 )[/LIST][/LIST]