-
Junior Member
- Вес репутации
- 53
Опять Get Accelerator
Зловредный вирус, уже многим известный get accelerator. Блокирует доступ в интернет. Требует отправить сообщение на номер 1350. Куреит поработал, потом нод32 нашли около 30 вирусов Не смогли устранить это серое окошко. Помогло то, что на компе переставили дату на месяц назад. Тогда смог выйти в интернет. Осталось прибить этот гадский вирус.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('GarenaPEngine');
DeleteService('synsend');
DeleteService('FXDrv32');
DeleteService('bqapzleqtz');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\QDL8.tmp','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
QuarantineFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll','');
QuarantineFile('D:\FXDrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\outbegnwol.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aijjmhbn.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\aijjmhbn.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\outbegnwol.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('D:\FXDrv32.sys');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\QDL8.tmp');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
DelCLSID('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Обновите базы AVZ.
4) Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
спасибо большое, окна вроде нет, все чисто, дату вернули Новые логи прилагаю вместе с новым вопросом: какаято ошибка - память не может быть writen. Не связано ли это с вирусами? (все происходит на компьютере друга а у него антивирус полгода не обновлялся - ваще фигова). Если закрывать ошибку все виснет ваще ничего не работает приходится перезагружать с помощью кнопки. Но его мона игнарировать - просто перетащить в угол и живи спокойно Но беспокоит. Проверьте пожалуйста. Карантин выслал.
-
В этих логах чисто.
Для контроля сделайте ещё такие логи:
- http://virusinfo.info/showthread.php?t=40118
- http://virusinfo.info/showthread.php?t=53070
Для устранения проблемы "память не может быть writen" - попробуйте рекомендации, описанные в этой статье: http://www.playlands.ru/publ/5-1-0-48
-
-
Junior Member
- Вес репутации
- 53
++лог из малваре. Гмер не идет!! Незнаю почему но пишет ошибку и предлагает отправить микрософту (как всегда). Как справляца? Да еще нью ошибка после которой комп реально зависает и же никак кроме кнопки не перезапускается. что делать? (извиняюсь, что так долго не было перебои в работе интернета :-( только щас подключили)
-
Защитное ПО надо выгружать.
Удалите в mbam
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
Сделаете новый лог mbam
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
-