-
Junior Member
- Вес репутации
- 54
Get-Accelerator
Get-Accelerator. Окошко с таймером на три минуты, по истечению времени либо синий экран либо виснет система напрочь, либо выключается комп.
убил в процессках explorer.exe затем удалил сам файл, перезапустил систему. Так как самого файла нет, проводник не запустился, зато запускается диспетчер задач, через который можно запустить любую прогу, вот и я запустил таки avz и сделал лог
кстати, при попытке скачать какой либо файл с нета, в любом браузере, вылезает окно Get-Accelerator, якобы идет скачивание но на 100% зависает)
Последний раз редактировалось MArtar; 14.12.2009 в 15:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отколючите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\Program Files\NewDotNet\newdotnet3_88.dll','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Подготовьте новые логи (их должно быть 3).
-
-
Junior Member
- Вес репутации
- 54
логи
после выполнения скрипта перезагрузился, так как файла explorer не было, я его скопировал с чистой машины, и запустил, опять вышло окно с этой хренью, потом еще один ресет и все в норме, просто были случаи, когда эта фигня сама по себе исчезала, полсе многочисленных ресетов, я тоже не мало перезагружался
Последний раз редактировалось MArtar; 14.12.2009 в 15:46.
-
-
-
Junior Member
- Вес репутации
- 54
а че GMER такой долгий?
GMER
Последний раз редактировалось MArtar; 14.12.2009 в 15:46.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer:
Код:
gmer.exe -del service rotscxodyibrvr
gmer.exe -del file "c:\windows\system32\drivers\rotscxvkilmlkb.sys"
gmer.exe -del file "rotscxwsp8.dll"
gmer.exe -del file "c:\windows\system32\rotscxwyltpkds.dll"
gmer.exe -del file "c:\windows\system32\rotscxbpjgrvpk.dat"
gmer.exe -del file "c:\windows\system32\rotscxtimpqqji.dll"
gmer.exe -del file "c:\windows\system32\rotscxgvknirpr.dat"
gmer.exe -del file "c:\windows\system32\rotscxqpuxvhel.dll"
gmer.exe -del file "c:\windows\system32\rotscxfvnsvnyl.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxodyibrvr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxodyibrvr"
gmer.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится!
Делайте новый лог гмер.
-
-
Junior Member
- Вес репутации
- 54
скрипт в GMER выполнил.
сегодня с утра новый троян)) WINLOCK.302 с ним я справился.
но есть одно НО. В любом браузере при попытке скачать какой либо файл, вылезает окно GET-Accelerator вместо стандартного окна загрузки браузера. после удаления файла C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll вроде все нормализовалось,
но этот файл был удален с помощью первого скрипта, значит этот файл каким то образом восстанавливается, короче делаю все логи заново
Последний раз редактировалось MArtar; 14.12.2009 в 15:46.
-
Вместо того, чтобы вытирать лужи, нужно починить подтекающий кран:
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
Потом повторите логи.
Последний раз редактировалось Rene-gad; 19.10.2009 в 11:03.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe - P2P-Worm.Win32.Palevo.jaz ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Trojan.Generic.2528569, AVAST4: Win32:MalOb-U [Cryp] )
- c:\windows\dmgr134.sys - Trojan.Win32.Zapchast.adw ( DrWEB: Trojan.Winlock.342 )
- c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan.Win32.Zapchast.adw ( DrWEB: Trojan.Winlock.342, BitDefender: Trojan.Generic.2554899, AVAST4: Win32:Malware-gen )
-