Показано с 1 по 12 из 12.

get accelerator (заявка № 62491)

  1. #1
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53

    Thumbs up get accelerator

    winxp sp3. После вылета броузера firefox с ошибкой доступа к памяти. Через несколько минут появилась табличка с обратным отсчетом (5 минут) с сообщением о блокировке интернета в связи с нарушением лицензии get accelerator и требованием отправить смс на номер 1350.

    Логи avz и hijackthis:

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Скачайте новую версию AVZ 4.32, обновите базы и переделайте логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53
    Логи после обновления

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Please, disable System Restore and antivirus (if you have).
    2. Execute this script in AVZ:

    Код:
    begin
    ClearHostsFile;
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DelBHO('{BA5D8DF9-1851-4660-B3AE-89E6E030AC34}');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     QuarantineFile('C:\WINDOWS\system32\drivers\zznwieaz.sys','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp','');
     DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp');
     DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\WINDOWS\system32\chknt32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     DeleteFile('C:\WINDOWS\system32\drivers\zznwieaz.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot execute this script in AVZ:

    Код:
    begin
     CreateQurantineArchive('C:\quarantine.zip');
    end.
    Upload file C:\quarantine.zip, by link http://virusinfo.info/upload_virus.php?tid=62491

    4. Make a new logs.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53
    К сожалению пока проблема до конца не решена, окно вируса снова открывается. Новые логи прилагаю, файл карантин отправляю по ссылке.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Попробуйте в AVZ-AVZ Guard-включить AVZ Guard.

    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\smekbhle.sys');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53
    Огромное спасибо. Окошко больше не выводится, интернет заработал. Логи высылаю. Посмотрите, пожалуйста, все ли чисто - видел в логах упоминание о найденных перехватчиках руткита. Где нибудь можно почитать о действиях этого вируса? Стоит ли менять пароли к сайтам, к которым производился доступ до заражения?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Выполните скрипт в avz
    Код:
    begin
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  10. #9
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53
    Новый лог. Из замеченных проблем: стала регулярно зависать usb мышь (восстанавливает работу после перетыкания), команды типа ping, tracert, nslookup выдают странное сообщение об ошибке:

    C:\Documents and Settings\User>ping ya.ru
    [-] mapping_data_source::init error: file not found

    Обмен пакетами с ya.ru [93.158.134.8] по 32 байт:

    Ответ от 93.158.134.8: число байт=32 время=6мс TTL=57
    Ответ от 93.158.134.8: число байт=32 время=5мс TTL=57

  11. #10
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53
    что скажете по поводу C:\WINDOWS\system32\DRIVERS\SandBox.sys он вроде не в той папке лежит в которой должны outpost'овские грабли и размер другой?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Чисто.

    Добавлено через 49 секунд

    что скажете по поводу C:\WINDOWS\system32\DRIVERS\SandBox.sys он вроде не в той папке лежит в которой должны outpost'овские грабли и размер другой?
    От Оутпоста.
    Последний раз редактировалось snifer67; 05.12.2009 в 14:09. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    05.12.2009
    Сообщений
    7
    Вес репутации
    53
    Спасибо. А из за чего могут быть ошибки о которых писал чуть выше?


    "[-] mapping_data_source::init error: file not found"

  • Уважаемый(ая) silentart, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Get Accelerator
      От wazzzuup в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 13.12.2009, 20:49
    2. Get Accelerator
      От phill13 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.12.2009, 10:02
    3. Get Accelerator
      От Levackina в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.12.2009, 18:41
    4. Get Accelerator
      От Tatiana_M в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 06.12.2009, 17:40
    5. Get accelerator
      От sil77 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.12.2009, 10:17

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01344 seconds with 17 queries