-
Junior Member
- Вес репутации
- 53
Помогите вирус одолел
При загрузке компьютера открывается окно с предложением отправить смс за лицензию Get Accelerator. Штатный Drweb не проверяет, говорит база ломанная (drweb лицензионный с ежедневным обновлением). Проверка скачанного CureIt находит и перемещает вирусы Trojan.Download.52152 и Trojan.Proxy.6207. После перезагрузки окно Get Accelerator снова вылазит. Согласно правилам вложил логи проверки. Помогите пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы АВЗ, отключите восстановление системы, повторите логи
-
-
Junior Member
- Вес репутации
- 53
На зараженном компе вирус отключил интернет, восстановление было отключено. Если на другом обновить базы АВЗ и потом скопировать папку это нормально?
-
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
И если известно, что делает этот вирус, у меня он на компьютере с кучей клиент-банков. Не снимет ли он ключи? Спасибо
-
Кроме Get Accelerator, еще пачка зверья.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv181255703227.exe','');
QuarantineFile('C:\Program Files\Hidden Administrator\ha_server\ha_server.exe','');
QuarantineFile('C:\Documents and Settings\Алена.ALENA\restorer64_a.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\bukadrv.sys','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
QuarantineFile('c:\program files\winday\winday.exe','');
QuarantineFile('c:\documents and settings\Алена.alena\application data\svcst.exe','');
QuarantineFile('c:\documents and settings\Алена.alena\application data\seres.exe','');
DeleteFile('c:\documents and settings\Алена.alena\application data\svcst.exe');
DeleteFile('C:\Documents and Settings\Алена.ALENA\Application Data\seres.exe');
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\WINDOWS\dmgr134.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','restorer64_a');
DeleteFile('C:\Documents and Settings\Алена.ALENA\restorer64_a.exe');
DeleteFile('C:\WINDOWS\Temp\wpv181255703227.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','sysgif32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам.
Сделать заново комплект логов.
Есть вероятность того, что пароли "Клиент-Банка" ушли на сторону. Надо
их все поменять.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Все сделал, вроде больше не вылазит вирус. Файлы карантина прикрепил + логи. Огромное спасибо.
-
Зачистим остаток:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Алена.ALENA\Application Data\lizkavd.exe','');
DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Antivirus Pro 2010');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('C:\Documents and Settings\Алена.ALENA\Application Data\lizkavd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин новый пришлите.
Логи повторите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','restorer64_a');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новые логи прикрепите к новому сообщению
Обновите Windows XP SP2 до Windows XP SP3, возможно потребуется активация и Internet Explorer v7.00 до Internet Explorer v8.00
Последний раз редактировалось Шапельский Александр; 21.10.2009 в 17:04.
Причина: Ошибка
-
-
Junior Member
- Вес репутации
- 53
Все сделал. Карантин загрузил.
-
В логах чисто, что с проблемой?
Рекомендую обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация и Internet Explorer v7.00 до Internet Explorer v8.00
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\алена.alena\application data\seres.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Packed.683, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:MalOb-X [Cryp] )
- c:\documents and settings\алена.alena\application data\svcst.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Packed.683, BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:MalOb-X [Cryp] )
- c:\windows\dmgr134.sys - Trojan-Dropper.Win32.Agent.bgfs ( DrWEB: Trojan.Winlock.366 )
- c:\windows\system32\_scui.cpl - Packed.Win32.Krap.ah
- c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan-Ransom.Win32.Agent.gc ( DrWEB: Trojan.Winlock.366, BitDefender: Gen:Trojan.Heur.Hype.cy4@aSUBebjk, NOD32: Win32/LockScreen.CF trojan, AVAST4: Win32:Malware-gen )
-