Показано с 1 по 9 из 9.

Вирус Get-accelerator (заявка № 57365)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2007
    Адрес
    Россия, Нефтеюганск
    Сообщений
    14
    Вес репутации
    39

    Thumbs up Вирус Get-accelerator

    Принесли комп. При входе в систему почти на весь экран окно вируса, требующего отправить смс на короткий номер 9099 с текстом acv1017819. Вирус даёт три минуты, потом перезагружает систему.
    Сразу говорю, те коды, что на dr.web есть возможность получить, не подходят.
    Логи сделать не успеваю, но могу сказать, что дело в зараженном Winlogon.exe (он выдает окно), который прикладываю.
    Сделал восстановление винды с загрузочного диска (Enter, F8, R), не помогло. Есть подозрение, что вирус восстанавливает себя через загрузочный сектор, т.к. при вызове fixmbr выдается сообщение, что загрузчик не опознан и могут быть проблемы.
    CureIt Тоже не запускается, вылетает )
    Последний раз редактировалось BarsukovAV; 16.10.2009 в 08:32. Причина: убрал вложение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    винлогон чистый. длл-ка подозрительная, но удалять не спешите.

    Прикреплять подозритиельные файлы в тему запрещено, поэтому удаляю.

    Загрузиться в безопасном режиме не пробовали?
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    28.07.2007
    Адрес
    Россия, Нефтеюганск
    Сообщений
    14
    Вес репутации
    39
    Нашёл способ избавиться от вредного окна, чтобы можно было хотя бы сканер запустить. Запускаем диспетчер задач, на вкладке Приложения выбираем "Активация..." правой кнопкой / свернуть.

    Добавлено через 4 минуты

    Пришёл ответ от kaspersky...

    winlogon из dllcache.exe, winlogon из system32.exe
    Вредоносный код в файлах не обнаружен (это оригинальные файлы windows).

    {991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll - Trojan.Win32.Zapchast.adw

    Да, в безопасном запускался, конечно. Та же проблема, т.е. требует активацию.

    Добавлено через 15 минут

    о! Эврика! Загрузился в безопасном режиме с поддержкой коммандной строки.
    Комп не перезагружается... Или уже вирус отстал от меня (на форумах пишут, что после какго-то количества перезагрузок он перестаёт мешаться).
    Запустил CureIT, сейчас закачаю avz и сделаю логи.

    Добавлено через 14 минут

    ОДнако, вирус запускает не winlogon.exe. так как при загрузке в безопасном режиме с поддержкой командной строки вирус не вылазит. Когда закрываешь командную строку и запускаешь explorer.exe (а он уже все вытекающие), тогда сразу вылазит окно вируса и таймер.
    Последний раз редактировалось BarsukovAV; 16.10.2009 в 06:57. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    28.07.2007
    Адрес
    Россия, Нефтеюганск
    Сообщений
    14
    Вес репутации
    39

    Логи

    выкладываю логи.
    Помогите, пожалуйста, комп нужен уже буквально через час!
    Последний раз редактировалось BarsukovAV; 16.10.2009 в 08:32.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\windows7addon.exe','');
     QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('D:\RECYCLER\S-1-5-21-0318687194-1276497934-191686497-7654\mwau.exe','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\vtmini.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('D:\WINDOWS\dmgr134.sys','');
     QuarantineFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
     QuarantineFile('D:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
     DeleteFile('D:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
     DeleteFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
     DeleteFile('D:\WINDOWS\dmgr134.sys');
     DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('D:\RECYCLER\S-1-5-21-0318687194-1276497934-191686497-7654\mwau.exe');
     DeleteFile('D:\WINDOWS\system32\csrcs.exe');
     DeleteFile('D:\WINDOWS\system32\sysmgr.exe');
     DeleteFile('D:\WINDOWS\windows7addon.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','sysmgr');
    BC_Importall;
     BC_DeleteSvc('sysdrv32');
     BC_DeleteSvc('Microsoft Network Driver');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить.

    Сделайте лог gmer

  7. #6
    Junior Member Репутация
    Регистрация
    28.07.2007
    Адрес
    Россия, Нефтеюганск
    Сообщений
    14
    Вес репутации
    39
    Проблема решена, спасибо большое!
    Логи сделать не успел, т.к. комп надо было срочно отдавать, бухам отчетность сдавать, а тут такая засада.
    Но на сегодняшний день всё работает на ура!
    Спасибо ещё раз.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    Если есть возможность, то карантин пришлите.

  9. #8
    Junior Member Репутация
    Регистрация
    28.07.2007
    Адрес
    Россия, Нефтеюганск
    Сообщений
    14
    Вес репутации
    39

    file

    все логи и карантин у клиента. Впрочем, в карантине и был-то один единственный файл. Остальные антивирусами до вашего лечения были убиты. Этот файл у меня есть, я его в антивирусные компании рассылал. Сейчас приложу.
    Пароль к архиву virus
    Последний раз редактировалось BarsukovAV; 20.10.2009 в 05:32.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan.Win32.Zapchast.adw ( DrWEB: Trojan.Winlock.342, BitDefender: Trojan.Generic.2554899, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) BarsukovAV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Get accelerator вирус
      От liquidr в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.12.2009, 01:46
    2. Вирус Get Accelerator
      От mcm57 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.12.2009, 07:46
    3. Вирус Get Accelerator
      От dimonh5n1 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2009, 13:33
    4. Вирус Get-Accelerator
      От ksserver в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.11.2009, 22:56
    5. Вирус Get Accelerator
      От never4ever в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.10.2009, 18:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00185 seconds with 16 queries