Проблемы после лечения от "Get Accelerator'а"

[Sunshinelily]

Столкнувшись с известным набором радостей (аваст не справился с троянцем, затем - серое сообщение с СМС, интернет-соединение заблокировано и прочее) в интернете с другого компьютера нашёл совет по использованию AVZ с общим скриптом для всех, у кого такая проблема. После выполнения скрипта и перезагрузки ничего не изменилось. После отключения восстановления и выполнения некоторых пунктов, предшествующих по правилам диагностике (при этом при попытке загрузки SafeMode - зависание + выскакивал стандартный синий экран с косноязычным объяснением причин) в какой-то момент "серое" сообщение исчезло, выход в интернет восстановлен.

Но так как не всё было сделано по правилам, хотелось бы увериться, что следов пребывания троянца не осталось.
К тому же, на некоторые сайт получается заходить только после нескольких обновлений страницы; наблюдаются и прочие сложности при веб-сёрфинге, которых до появления троянца не было.

Пожалуйста, проверьте по логам, всё ли излечилось в системе от Ransom-а и помогите убрать следы пребывания гада.

[Rene-gad]

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('70.103.101.103\aekgoprn.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\kfyuiah8.SYS','');
 DeleteFile('70.103.101.103\aekgoprn.dll');
 DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

- Удалите Bonjour.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Sunshinelily]

Файл сохранён как 091204_203413_quarantine_4b1948150ca4d.zip
Размер файла 1324260
MD5 d3dafe54cd7caf47ef83a2d83aa6a3ef

Все шаги выполнены. Готово.

После перезагрузки "устройство" появилось, было удалено через диспетчер устройств.
С бонжуром были проведены нужные действия.

[thyrex]

AVZ - AVZ Guard - включить AVZ Guard

Сделайте лог virusinfo_syscheck.zip (п. 2 раздела Диагностика) и приложите к этой теме.
Когда сделаете лог, компьютер не перезагружайте

[Sunshinelily]

Сделано.

[snifer67]

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\kfyuiah8.SYS','');
 DeleteFile('70.103.101.103\aekgoprn.dll');
 DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\kfyuiah8.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !

[Sunshinelily]

Выполнял действия по порядку. Но - в карантине пусто.

[snifer67]

Чисто.

[Sunshinelily]

Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\kfyuiah8.sys - Rootkit.Win32.Thost.a ( DrWEB: Trojan.Winlock.508, NOD32: Win32/Sirefef.A trojan, AVAST4: Win32:FakeAlert-FC [Trj] )