Программа блокирует доступ в интернет.
Пишет что нарушил лицензионное соглашение программы get accelerator.
Просит отправить смс, и ввести код.
Подозрительные файлы: ikowin32.exe и photo_id
Прошу помогите, уже не знаю что делать
Программа блокирует доступ в интернет.
Пишет что нарушил лицензионное соглашение программы get accelerator.
Просит отправить смс, и ввести код.
Подозрительные файлы: ikowin32.exe и photo_id
Прошу помогите, уже не знаю что делать
Обновите базы AVZ (файл- обновление баз)
Логи переделать.
Не могу обновить базу, выдает ошбку... Интернет не работает.
Добавлено через 8 минут
Обновил через другой компьютер, сейчас буду делать логи.
Последний раз редактировалось Chack; 17.11.2009 в 21:48. Причина: Добавлено
1) выполните скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}'); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe',''); QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll',''); QuarantineFile('C:\WINDOWS\aekgoprn.sys',''); QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll',''); QuarantineFile('C:\WINDOWS\system32\winsrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\suserv.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv491254042811.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ikowin32.exe',''); DeleteService('appdrvrem01'); QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe',''); TerminateProcessByName('c:\windows\temp\wpv491254042811.exe'); QuarantineFile('c:\windows\temp\wpv491254042811.exe',''); QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll',''); TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\winsvc.exe'); QuarantineFile('c:\documents and settings\admin\application data\microsoft\winsvc.exe',''); TerminateProcessByName('c:\windows\system32\suserv.exe'); QuarantineFile('c:\windows\system32\suserv.exe',''); TerminateProcessByName('c:\windows\system32\photo_id.exe'); QuarantineFile('c:\windows\system32\photo_id.exe',''); TerminateProcessByName('c:\program files\oovoo\oovoo.exe'); DeleteFile('c:\windows\system32\photo_id.exe'); DeleteFile('c:\windows\system32\suserv.exe'); DeleteFile('c:\documents and settings\admin\application data\microsoft\winsvc.exe'); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); DeleteFile('c:\windows\temp\wpv491254042811.exe'); DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winsvc.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ikowin32.exe'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Connection Wizard Setup Tool'); DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\appdrvrem01','EventMessageFile'); DeleteFile('C:\WINDOWS\Temp\wpv491254042811.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id'); DeleteFile('C:\WINDOWS\system32\suserv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','suserv'); DeleteFile('C:\WINDOWS\system32\winsrv32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check'); DeleteFile('C:\WINDOWS\system32\aekgoprn.dll'); DeleteFile('C:\WINDOWS\aekgoprn.sys'); DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll'); DeleteFileMask('C:\PROGRA~1\FieryAds\','*.*',true); DeleteDirectory('C:\PROGRA~1\FieryAds\'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3) Выполните скрипт из этой темы: http://virusinfo.info/showthread.php?t=43700
4) Эти программы вам знакомы?
5) Повторите логи.D:\Programs\SAMBC\SAMBC.exe
D:\Programs\KVIrc\kvirc.exe
D:\Programs\DoS-HTTP\DoSHTTP.exe
C:\Program Files\AmlMaple\AmlMaple.exe
C:\Program Files\FlashFXP\FlashFXP.exe
c:\program files\oovoo\oovoo.exe
GHETTO/STREET WORKOUT
Мне обновлять базу, или сначала попробовать выполнить скрипты?
D:\Programs\KVIrc\kvirc.exe
D:\Programs\DoS-HTTP\DoSHTTP.exe
Эти программы не знакомы...
Остольные да.
Выполняйте мои рекомендации по порядку, потом обновите базы (до того как делать новые логи) и потом сделайте новые логи.
GHETTO/STREET WORKOUT
Выполнил первый скрипт, окно пропало.
Остольные пункты выполнять?
Обязательно.Остольные пункты выполнять?
В папку с AVZ.Куда сохраняется quarantine.zip?
GHETTO/STREET WORKOUT
quarantine.zip, закачал, сейчас выолню следуйщие действия.
Добавлено через 2 минуты
Все дейстивя выполнил, выполняю скрипты 2,3.
После алью логи.
Последний раз редактировалось Chack; 17.11.2009 в 22:03. Причина: Добавлено
Выполнил скрипты, вот логи.
1) выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\uPlayMe\plugins\MSIE.dll',''); QuarantineFile('F:\winsvc.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\innounp.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\Pinch Editor 2.99.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\crypt\crypt.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\[Soft]\ImtaleFA\Imtale 4.1.2\Imtale 4.1.2\IMtale.exe',''); QuarantineFile('D:\Programs\MA\Mra\dll\newmrasearch.dll',''); DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}'); DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}'); DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}'); QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll',''); DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll'); DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true); DeleteDirectory('C:\Program Files\AskBarDis'); DeleteFile('D:\Programs\MA\Mra\dll\newmrasearch.dll'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\winsvc.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(4); BC_Activate; RebootWindows(true); end.
2) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3) сделайте новые логи: virusinfo_syscheck.zip и hijackthis.log
4) программу RAdmin сами ставили?
Это что такое?
5) опешите состояние операционной системы - есть ли какие-нибудь проблемы.C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\Pinch Editor 2.99.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\xakepok.org\Soft\Pinch editor\crypt\crypt.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\PowerfulGeneratoR\Powerful GeneratoR.exe
C:\Documents and Settings\Admin\Рабочий стол\[Soft]\ImtaleFA\Imtale 4.1.2\Imtale 4.1.2\IMtale.exe
GHETTO/STREET WORKOUT
Компьютер просто не мой, друга был, сам не чистил, вот только забралу него, и сразу вирус подхватил...
Сейчас выполню скрипты, и отпишу.
Добавлено через 6 минут
Файл quarantine.zip залил, сейчас сделаю новые логи и залью.
Компьютер пока вроде тьфу, тьфу ничего.
Спасибо большое...
Только вот при перезагрузке компьютера почему то папка system32 открывается все время...
Последний раз редактировалось Chack; 17.11.2009 в 23:38. Причина: Добавлено
Пока карантин мы не получили - попробуйте залить ещё раз (если не получится - переименуйте архив с карантином и попробуйте ещё раз).Файл quarantine.zip залил
Сейчас по новым логам посмотрим в чём дело.Только вот при перезагрузке компьютера почему то папка system32 открывается все время...
GHETTO/STREET WORKOUT
Сделал логи.
Загрзил заного quarantine.zip
Ок. Получили.Загрзил заного quarantine.zip
1) Пофиксите в HijackThis:
2) Выполните скрипт В AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing) R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: MSIEPlugin - {4B0FAF5A-67C4-4625-AE07-B0DBADA16EBF} - C:\Documents and Settings\All Users\Application Data\uPlayMe\plugins\MSIE.dll (file missing) O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing) O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
Компьютер перезагрузится.Код:begin ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
3) Опишите повторяется ли проблема с открытием папка system32 при перезагрузке.
4) Сделайте такой лог: http://virusinfo.info/showthread.php?t=53070
GHETTO/STREET WORKOUT
Сделал первые 2 пункта, компьютер перезагрузился, но проблемма осталася, 4 пункт выполнить?
Да, конечно.4 пункт выполнить?
GHETTO/STREET WORKOUT
Ingener, пришлю лог завтра с утра, сейчас ухожу...
Спасибо вам большое.
Лог программы Malwarebytes Antimalware..
Уважаемый(ая) Chack, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.