Показано с 1 по 5 из 5.

И опять GetAccelerator (заявка № 61892)

  1. 01.12.2009, 00:53 #1
    blackdog
    blackdog вне форума
    Junior Member Репутация
    Регистрация
    11.10.2009
    Сообщений
    2
    Вес репутации
    54

    Exclamation И опять GetAccelerator

    Здравствуйте всем, просит отослать смс на номер 1350, как побороть заразу? Интернета нет так что проверить цюритом не смог.
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 01.12.2009, 01:11 #2
    Никита Соловьев
    Никита Соловьев вне форума
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    1. Пофиксите с помощью HJT:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    2. Выполните скрипт в AVZ:
    Код:
    begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\JVMOD32.DLL','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\Installer\{fd3c1ac5-99ed-4463-87ce-6ec3b556f634}\zip.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{8e53dd6e-09f0-4c1a-abe1-f150812a5207}\WinSrv.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wek27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nty27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oub62.sys','');
 QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
 QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
 DeleteService('Wek27');
 DeleteService('Rxd38');
 DeleteService('Nty27');
 DeleteService('Oub62');
 DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
 DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oub62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nty27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wek27.sys');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\WINDOWS\Installer\{8e53dd6e-09f0-4c1a-abe1-f150812a5207}\WinSrv.dll');
 DeleteFile('C:\WINDOWS\Installer\{fd3c1ac5-99ed-4463-87ce-6ec3b556f634}\zip.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\JVMOD32.DLL');
 DeleteFile('C:\WINDOWS\Installer\337c0a.msi');
 DeleteFile('C:\WINDOWS\Installer\31d67c.msi');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg','DLLName');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WinSrv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','zip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.
    После выполнения скрипта компьютер перезагрузится.

    3. Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

    4. Сделайте новые логи
  4. 01.12.2009, 10:11 #3
    blackdog
    blackdog вне форума
    Junior Member Репутация
    Регистрация
    11.10.2009
    Сообщений
    2
    Вес репутации
    54
    новые логи, интернет ещё не пробовал. Карантин отправил.
  5. 01.12.2009, 11:22 #4
    Rene-gad
    Rene-gad вне форума
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    R3 - Default URLSearchHook is missing
O2 - BHO: wxilibP - {7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE} - (no file)
O2 - BHO: (no name) - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - (no file)
O2 - BHO: cj helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - (no file)
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CD739C7-0015-4777-98AE-91E95702EAC3}: NameServer = 85.255.113.122,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.122 85.255.112.24
O20 - AppInit_DLLs: C:\WINDOWS\system32\RJpYa.dll
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - (no file)
    -Выполните скрипт:
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('Wek27');
 StopService('tcpsr');
 StopService('Rxd38');
 StopService('Oub62');
 StopService('Nty27');
 QuarantineFile('C:\WINDOWS\system32\RJpYa.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wek27.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oub62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nty27.sys','');
 QuarantineFile('C:\WINDOWS\Help\oqtxde.chm','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.bak','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dl_','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.bak','');
 DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.bak');
 DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dl_');
 DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.bak');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
 DeleteService('Wek27');
 DeleteService('tcpsr');
 DeleteService('Rxd38');
 DeleteService('Oub62');
 DeleteService('Nty27');
 DeleteFile('C:\WINDOWS\system32\RJpYa.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wek27.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Rxd38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oub62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nty27.sys');
 DeleteFile('C:\WINDOWS\Help\oqtxde.chm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('Wek27');
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('Rxd38');
 BC_DeleteSvc('Oub62');
 BC_DeleteSvc('Nty27');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);,
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
CreateQurantineArchive('C:\quarantine.zip');
SetAVZPMStatus(True);
RebootWindows(true);
end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Закачайте карантин C:\quarantine.zip.
    - Сделайте лог полного сканирования MBAM.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 01.12.2009 в 11:29.
  6. 02.12.2009, 11:22 #5
    CyberHelper
    CyberHelper вне форума
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\jvmod32.dll - Trojan-Banker.Win32.Banker.aodl ( DrWEB: Trojan.PWS.Banker.31197, BitDefender: Trojan.Generic.2528856, NOD32: Win32/Spy.Delf.NYQ trojan, AVAST4: Win32:Spyware-gen [Spy] )
      2. c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rzm ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2756456, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.has ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2613831, AVAST4: Win32:Malware-gen )

  • Уважаемый(ая) blackdog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

    • « Предыдущая тема | Следующая тема »

    Похожие темы

    1. Опять GetAccelerator
      От skinv в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.12.2009, 16:32
    2. были порнобаннер + GetAccelerator, остался только GetAccelerator
      От owsla в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.12.2009, 19:11
    3. GetAccelerator
      От Fruit83 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.12.2009, 18:41
    4. И опять GetAccelerator
      От mrsuperkarate в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.11.2009, 10:43
    5. GetAccelerator и Ко
      От Vinny_B в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.11.2009, 13:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  

    Правила форума

    Page generated in 0.00173 seconds with 19 queries