Get Accelerator
Изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер 9 минут и предлагает отправить SMS-сообщение с текстом после остановки таймера ничего непроисходит
ПЛЗ помогите избавится от этого ..рьма
Последний раз редактировалось Aksenty; 21.11.2009 в 19:05. Причина: изменение заголовка сори
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\photo_id.exe'); QuarantineFile('C:\WINDOWS\TEMP\~TM7C.tmp',''); QuarantineFile('C:\Documents and Settings\Aks\photo_id.exe',''); QuarantineFile('C:\Documents and Settings\Aks\Главное меню\Программы\Автозагрузка\sysupd32.exe',''); QuarantineFile('C:\WINDOWS\system32\photo_id.exe',''); QuarantineFile('70.103.101.103\aekgoprn.dll',''); DeleteFile('70.103.101.103\aekgoprn.dll'); DeleteFile('C:\WINDOWS\system32\photo_id.exe'); DeleteFile('C:\WINDOWS\TEMP\~TM7C.tmp'); DeleteFile('C:\Documents and Settings\Aks\Главное меню\Программы\Автозагрузка\sysupd32.exe'); DeleteFile('C:\Documents and Settings\Aks\photo_id.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','sysgif32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
скрипт выполнил, изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator осталось
Запрашиваемый архив отправил!
Теперь сделайте логи заново
Последний раз редактировалось AndreyKa; 21.11.2009 в 20:47. Причина: убрал карантин
70.103.101.103 Вам знаком этот IP?
Если честно я даже непонял суть вопроса хотя знаю что вопрос очень простой =)
Ответ нет (в айпишниках неселён)
Последний раз редактировалось Aksenty; 21.11.2009 в 20:51. Причина: орфография
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('%System32%\aekgoprn.dll',''); DeleteFile('%System32%\aekgoprn.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Загрузите quarantine.zip по ссылке вверху темы
Сделайте новый лог virusinfo_syscheck.zip
файлик карантин несфорировался высылаю свежие логи
Выполните скрипт:
Если что-то попадет в карантин, то пришлите.Код:begin SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\uizszrco.SYS',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Повторите логи, плюс сделайте лог Gmer.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
лог Gmer
Свежие логи
Он самый (см. ссылку у меня в подписи)лог Gmer
после запуска GMER k0zfze.exe - обнаружена ошибка
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); DeleteFile('C:\WINDOWS\System32\Drivers\uizszrco.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
УУУРАААААА
Последний скрипт убрал окно вируса и я свободно вышел в инет обновил базы avz ща сделаю свеж лог вы просто супер-пупер-мега мозг
Уменя стоит последний аваст получается что ему побарабану на эту дрянь посаветуйте как предохранятся ?
Свежие логи прилагаю.
Последний раз редактировалось AndreyKa; 22.11.2009 в 17:07.
Чисто
Просто в его базах нет соответствующей записиУменя стоит последний аваст получается что ему побарабану
virusinfo_syscure.zip - вчерашний, будьте внимательнее
Огромное спасибо!
я вам смс-ку в копилку отправил
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\aks\главное меню\программы\автозагрузка\sysupd32.exe - Trojan-Dropper.Win32.Small.edb ( DrWEB: Trojan.DownLoad1.4576, AVAST4: Win32:Small-NDA [Trj] )
- c:\windows\system32\drivers\uizszrco.sys - Trojan-Ransom.Win32.Agent.ha ( DrWEB: Trojan.DownLoad1.11635, BitDefender: Trojan.Generic.2737881, AVAST4: Win32:FakeAlert-FC [Trj] )
- c:\windows\system32\photo_id.exe - Backdoor.Win32.HareBot.akj ( DrWEB: Trojan.DownLoad.41506, NOD32: Win32/Wigon.LX trojan )
- c:\windows\temp\~tm7c.tmp - Trojan-Proxy.Win32.Small.ael
Уважаемый(ая) Aksenty, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
