-
Junior Member
- Вес репутации
- 53
Get Accelerator
Вирус пишет в окне "Доступ в интернет заблокирован ...
осталось 10 минут ..Пришлите acv9006633 на номер 9099.."
Доступа в Интернет нет.
После завершения работы таймера ничего не происходит,доступа в интернет по прежнему нет.
CureIT ничего не находит.
ПРограммка Malwarebytes' Anti-Malware 1.41
Версия базы данных: 2775
находит в Windows\system32\{.....}.dll удаляет ее. После перезагрузки окно вируса Get Accelerator не появляется . Интернет доступен.
Но после следующей перезагрузки все повторяется.Опять появляется злополучная Windows\system32\{.....}.dll
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Вот такая вирусовая dll C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\agp440.sys','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 53
Ход событий. После того как я сформировал пакет логов для создания этой ветки форума. Я опять удалил C:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll и перезапустился .Как и в прошлые разы окно вируса не появилось.Значит интернет стал доступным. Я создал ветку на формуе и приложил логи.после этого комп больше не перегружал и оставил на ночь.После вашего ответа на сайте я решил перегрузить комп и выполнить присланный вами скрипт.
Но после перезагрузки не появилось окно вируса ,а появилось окно "Активация выполнен Перегрузить компьютер Да / Нет".Я еще раз перегрузил комп и уже после этого запустил ваш скрипт в AVZ. Далее выслал вам карантин и чуть позже будут логи .
-
Junior Member
- Вес репутации
- 53
Выкладываю логи после выполнения вашего скрипта.
Проблема ушла.Спасибо вам за помощь и внимание к моей проблеме.
Некоторые мысли:
Не понял в какой момент и что помогло вылечить комп.Может быть когда выпонял скрипты в первый раз , AVZ пофиксила вирус.?
Насторожила надпись "Активация выполенена".Если это окно все таки относится к Get Accelerator(на окне не было инфы что за прога) ,то кто его активировал,код ведь я не вводил , смс не посылал.
Резюме:Все таки комп вылечили или Get Accel.. уснул ,до поры до времени.
-
1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
Обратите внимание на отчёт после завершания закачки:
Размер закачанного файла
MD5 закачанного файла
Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)
-
-
+к vegas
C:\WINDOWS\system32\DRIVERS\agp440.sys нужно заменить на чистый с дистрибутива
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выполнил инструкции:
Файл сохранён как 091020_235259_virusinfo_files_SATELLITE-5100_4ade151bc408c.zip
Размер файла 2676103
MD5 c69ca830121a737c6aa5a49eed0a639a
-
Junior Member
- Вес репутации
- 53
Уважаемые вирусоведы,пожалуйста,закончите ваше заключение.Вирус больше не появлялся , ваши рекомендации выполнил.Что можете сказать по содержанию
файла 091020_235259_virusinfo_files_SATELLITE-5100_4ade151bc408c.zip?
-
Лечение не закончено. Файл agp440.sys заменили?
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\Documents and Settings\Satellite\Application Data\lizkavd.exe');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Повторите логи
-
-
Junior Member
- Вес репутации
- 53
Файл agp440.sys заменил ,но к сожалению дистриба на диске не оказалось и я скопировал с архива что был у меня на тойже машине что и вирус.Поищу дистрибутив внешний.
Скрипт выполнил . После перезагрузки у меня мастер оборудования нашель новое неизвестное устройство,что это за устройство ума не приложу.Выкладываю логи.
-
Сообщение от
DENIS-SV
Поищу дистрибутив внешний
Уже не нужно, заменили нормальным.
Сообщение от
DENIS-SV
После перезагрузки у меня мастер оборудования нашель новое неизвестное устройство
Все нормально, это от АВЗ. Выполните скрипт
Код:
begin
SetAVZPMStatus(False);
RebootWindows(true);
end.
Удалите Bonjour http://virusinfo.info/showthread.php?t=27923. Что с проблемами?
-
-
Junior Member
- Вес репутации
- 53
Vegas,спасибо за лечение.Выполнил все что вы советовали.На данный момент признаков вируса не наблюдаю.Хотелось бы еще услышать как произошло заражение,чтобы в дальнейшем остерегаться опрометчивых действий.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\satellite\application data\lizkavd.exe - Packed.Win32.Krap.ah ( DrWEB: Trojan.Fakealert.5454, BitDefender: Trojan.Generic.2553553, NOD32: Win32/Adware.XPAntiSpyware.AA application, AVAST4: Win32:MalOb-X [Cryp] )
- c:\windows\system32\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll - Trojan-Ransom.Win32.Agent.gc ( DrWEB: Trojan.Winlock.366, BitDefender: Gen:Trojan.Heur.Hype.cy4@aSUBebjk, NOD32: Win32/LockScreen.CF trojan, AVAST4: Win32:Malware-gen )
-