-
Junior Member
- Вес репутации
- 53
Get Accelerator
Здраствуйте. Всё началось когда Get Accelerator попросил отправить СМС чтобы залицензироваться. Он заблокировал интернет в браузерах, хотя в других приложениях интернет работает ( например в клиенте игры "heroesWM" и программы skype. Окошко Get Accelerator'a я убрал с помощью перестановки даты на 2 года вперёд. с помощью AVZ удалил все ключи в реестре с названиями SisZyd32 ( такой процес стоит в моей автозагрузке и не отключается) и файл svchost.exe полностью загружает одно из двух ядер моего процессора.
Высылаю вам логи, сделанные в безопасном режиме со включенным браузером Mozila Firefox
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Верните системную дату на место и делайте всё в НОРМАЛЬНОМ режиме.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('Wek06');
StopService('Vdj17');
StopService('securentm');
StopService('Sag63');
StopService('Ryf74');
StopService('Ryf28');
StopService('Rxe30');
StopService('port135sik');
StopService('netsik');
StopService('Krx52');
StopService('i386si');
StopService('Hnt06');
StopService('Bio63');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj17.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sag63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxe30.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx52.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnt06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio63.sys','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteService('Wek06');
DeleteService('Vdj17');
DeleteService('securentm');
DeleteService('Sag63');
DeleteService('Ryf74');
DeleteService('Ryf28');
DeleteService('Rxe30');
DeleteService('port135sik');
DeleteService('netsik');
DeleteService('Krx52');
DeleteService('i386si');
DeleteService('Hnt06');
DeleteService('Bio63');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj17.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sag63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxe30.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx52.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio63.sys');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('Wek06');
BC_DeleteSvc('Vdj17');
BC_DeleteSvc('securentm');
BC_DeleteSvc('Sag63');
BC_DeleteSvc('Ryf74');
BC_DeleteSvc('Ryf28');
BC_DeleteSvc('Rxe30');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('netsik');
BC_DeleteSvc('Krx52');
BC_DeleteSvc('i386si');
BC_DeleteSvc('Hnt06');
BC_DeleteSvc('Bio63');
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Получен ли мой карантин? или загрузки следует повторить?
В proces explorer увидел новый процес, который грузит систему называется wmiprvse.exe
Отсылаю новые логи
-
Карантина нет.
AVZ - AVZ Guard - включить AVZ Guard
Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.
Когда сделаете лог, компьютер не перезагружайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Я надеюсь я пытаюсь отослать вам правильный карантин. Я отсылаю вам карантин с путём ...avz\quarantine.zip он весит 22 байта. А по правилам надо отсылать архив из папки ...avz\quarantine\2009-12-04 но поэтому пути у меня в папке с датой ничего нету. поэтому отсылаю вам только ...avz\quarantine.zip . При попытке его отослать я получаю уведомление
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Отсылаю новый virusinfo_syscheck
Последний раз редактировалось Arcanarius; 04.12.2009 в 23:43.
Причина: орфография
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dima\Start Menu\Programs\Startup\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\Dima\Start Menu\Programs\Startup\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\pwmxehjq.SYS');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый virusinfo_syscheck
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
новый virusinfo_syscheck делать с включенным браузером и AVZ guardom?
Карантин закачал, Извините что без пароля, но я не знаю как создавать запароленный архив
Последний раз редактировалось Arcanarius; 05.12.2009 в 00:06.
-
Junior Member
- Вес репутации
- 53
новый virusinfo_syscheck с включённым(в названии присутствует guard_on) и выключенным гвардом
После всех манипуляций вылетел синий экран смерти ссылаясь на uji4mta0.sys
-
При включенном AVZ Guard
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnt06.sys','');
DeleteService('Hnt06');
QuarantineFile('C:\WINDOWS\System32\Drivers\mevqmwxm.SYS','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\mevqmwxm.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnt06.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
AVZ - AVZ Guard - включить AVZ Guard
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dima\av_md.exe','');
DeleteFile('C:\Documents and Settings\Dima\av_md.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
QuarantineFile('C:\WINDOWS\System32\Drivers\tdkiiieo.sys','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\tdkiiieo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый virusinfo_syscheck
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
карантин пуст, высылаю новый syscheck
-
Активируйте AVZGuard: AVZGuard -> включить AVZGuard.
Подождите минуты три и выполните перезагрузку, не отключая AVZGuard.
Затем создайте новый лог (virusinfo_syscure.zip) и приложите к этой теме.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Пишу с заражённой машины. После чистки CCleaner заработал интернет. При этом удалилось порядка 200 мегабайт. Перед тем как обратиться к вам делал чистку, из-за чего вирус и активировался, хотя чистка прошла успешно
Спасибо всем за помощь, Лечение закончено или требуется прислать что-нибудь ещё чтобы удостовериться что лечение прошло успешно?
Последний раз редактировалось Arcanarius; 06.12.2009 в 01:44.
-
В логе чисто.
Установите SP3 (может потребоваться активация) + все новые заплатки
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\dima\start menu\programs\startup\siszyd32.exe - Trojan.Win32.Agent.ddfr ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Rootkit-gen [Rtk] )
-