-
Junior Member
- Вес репутации
- 53
Вирус Гет Акселератор. Помогите.
помогите! высветилось всем известное окно с текстом Доступ в интеренет заблокирован в сязи с нарушением лицензионного соглашения программы Get Accelerator Вам необходимо активировать вашу копию ! Окно расположено в правом нижнем углу экрана, серое полупрозрачное. Просит выслать СМС с кодом 262063610 на номер 1350 и идет отсчет времени. НОД 32 обновленный его не видит. В процессах диспетчера задач не вижу его. В безопасном режиме окно также появляется и занимает 100% размер экрана, доступна только панель задач либо управлять клавиатурой переключаясь через ТАБ. Помогите пожалуйста!!!!Все действия указанные в правилах проделал. Файлы прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2019409210-4958543232-098679537-0651\f1.exe','');
QuarantineFile('C:\WINDOWS\system32\K4hostElSvc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\qtghu8zi.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ahpdfxyd.SYS','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ahpdfxyd.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\qtghu8zi.SYS');
DeleteFile('C:\WINDOWS\system32\K4hostElSvc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2019409210-4958543232-098679537-0651\f1.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('c:\windows\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61687).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
еше сюда кидаю на всякий случай
Последний раз редактировалось PavelA; 29.11.2009 в 16:16.
Причина: Карантин был удален,
-
Junior Member
- Вес репутации
- 53
-
Карантин присылать по красной ссылке. Отсюда он будет удален.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
обновил AVZ сделал новые логи. Выкладываю.
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: Доступ к платному контенту Aldea v1.5.2 - {B8F88615-A49E-4443-A26F-E97379BE1B1A} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
Больше ничего плохого не видно.
Файл hosts сами правили?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
нет файл хост не правил.
Добавлено через 2 минуты
кстати почему то НОД увидел угрозу только после того как файлы переместились в карантин AVZ. Пришлось их из карантина НОДа восстановить обратно в папку карантин AVZ.
Добавлено через 2 минуты
млин че т не пойму как профиксить через Hijack....
Последний раз редактировалось Madspike; 29.11.2009 в 17:10.
Причина: Добавлено
-
Сообщение от
Madspike
почему то НОД увидел угрозу только после того как файлы переместились в карантин AVZ.
А это, между прочим, обычное дело...
Сделайте в AVZ:
Файл - Восстановление системы - п.13 - Выполнить.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-2019409210-4958543232-098679537-0651\f1.exe - Packed.Win32.Krap.i ( DrWEB: Trojan.Webmoner.60950, BitDefender: Trojan.Generic.1797182, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\qtghu8zi.sys - Trojan-Ransom.Win32.Agent.hb ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )
-