Get Accelerate + sms на 3649
Здравствуйте, поймали вирус с "смс на 3649" после еще выскочил серый экран с Get Accelerate с кодом на номер 1350. в Безопасном режиме удалось запустить Hijackthis при переименовании в asdf.pif. Тем же самым спомобом удалось запустить AVZ. Скрипты судя по всему подвисают.. в безопасном режиме плохо видно на чем именно.. Сейчас жду пока.. может всетаки пройдут скрипты.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Перезагрузите компьютер.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O1 - Hosts: 91.212.198.20 vkontakte.ru O1 - Hosts: 91.212.198.20 mail.yandex.ru O1 - Hosts: 91.212.198.20 odnoklassniki.ru O1 - Hosts: 91.212.198.20 www.vkontakte.ru91.212.198.20 vkontakte.ru O1 - Hosts: 91.212.198.20 mail.yandex.ru O1 - Hosts: 91.212.198.20 odnoklassniki.ru O1 - Hosts: 91.212.198.20 www.vkontakte.ru O1 - Hosts: 91.212.198.20 vkontakte.ru O1 - Hosts: 91.212.198.20 mail.yandex.ru O1 - Hosts: 91.212.198.20 odnoklassniki.ru O1 - Hosts: 91.212.198.20 www.vkontakte.ru O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - AppInit_DLLs: C:\WINDOWS\system32\GxlYd.dll O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
После этого дожна запуститься AVZ.
Загрузитесь в обычном режиме и сделайте все логи по правилам .
GHETTO/STREET WORKOUT
Получилось выполнить скрипты. Выкладываю логи
Блокировали сами?Код:>> Заблокированы настройки системы System Restore >> Заблокирована настройка автоматического обновления
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\GxlYd.dll',''); DeleteFile('C:\WINDOWS\system32\GxlYd.dll'); QuarantineFile('C:\WINDOWS\system32\overlapp32.dll',''); DeleteFile('C:\WINDOWS\system32\overlapp32.dll'); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\immieqef.SYS',''); QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll',''); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\immieqef.SYS'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('F:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(11); ExecuteRepair(13); ExecuteRepair(17); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 28.11.2009 в 00:08. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде настройки сами не блокировали... Табличка пока больше не вылетает, высылаю логи и карантин, если еще что-то осталось буду рад увидеть скрипт, заранее Благодарю!! С Уважением, Михаил.
В логах чисто.
Осталось подправить мелочи:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
GHETTO/STREET WORKOUT
Спасибо большое за помощь и рекомендации!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\immieqef.sys - Trojan-Ransom.Win32.Agent.hb ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )
- c:\windows\system32\gxlyd.dll - Trojan-Ransom.Win32.SMSer.su ( DrWEB: Trojan.Winlock.499, BitDefender: Trojan.Generic.2807377, NOD32: Win32/Agent.QJZ trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rym ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2756456, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.acxy ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2727157 )
- f:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Mikke, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
