-
Junior Member
- Вес репутации
- 53
get accelerator
winxp sp3. После вылета броузера firefox с ошибкой доступа к памяти. Через несколько минут появилась табличка с обратным отсчетом (5 минут) с сообщением о блокировке интернета в связи с нарушением лицензии get accelerator и требованием отправить смс на номер 1350.
Логи avz и hijackthis:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте новую версию AVZ 4.32, обновите базы и переделайте логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
-
1. Please, disable System Restore and antivirus (if you have).
2. Execute this script in AVZ:
Код:
begin
ClearHostsFile;
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{BA5D8DF9-1851-4660-B3AE-89E6E030AC34}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\drivers\zznwieaz.sys','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\drivers\zznwieaz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
After reboot execute this script in AVZ:
Код:
begin
CreateQurantineArchive('C:\quarantine.zip');
end.
Upload file C:\quarantine.zip, by link http://virusinfo.info/upload_virus.php?tid=62491
4. Make a new logs.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
К сожалению пока проблема до конца не решена, окно вируса снова открывается. Новые логи прилагаю, файл карантин отправляю по ссылке.
-
Попробуйте в AVZ-AVZ Guard-включить AVZ Guard.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\drivers\smekbhle.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc26.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо. Окошко больше не выводится, интернет заработал. Логи высылаю. Посмотрите, пожалуйста, все ли чисто - видел в логах упоминание о найденных перехватчиках руткита. Где нибудь можно почитать о действиях этого вируса? Стоит ли менять пароли к сайтам, к которым производился доступ до заражения?
-
Выполните скрипт в avz
Код:
begin
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Новый лог. Из замеченных проблем: стала регулярно зависать usb мышь (восстанавливает работу после перетыкания), команды типа ping, tracert, nslookup выдают странное сообщение об ошибке:
C:\Documents and Settings\User>ping ya.ru
[-] mapping_data_source::init error: file not found
Обмен пакетами с ya.ru [93.158.134.8] по 32 байт:
Ответ от 93.158.134.8: число байт=32 время=6мс TTL=57
Ответ от 93.158.134.8: число байт=32 время=5мс TTL=57
-
Junior Member
- Вес репутации
- 53
что скажете по поводу C:\WINDOWS\system32\DRIVERS\SandBox.sys он вроде не в той папке лежит в которой должны outpost'овские грабли и размер другой?
-
Чисто.
Добавлено через 49 секунд
что скажете по поводу C:\WINDOWS\system32\DRIVERS\SandBox.sys он вроде не в той папке лежит в которой должны outpost'овские грабли и размер другой?
От Оутпоста.
Последний раз редактировалось snifer67; 05.12.2009 в 14:09.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
Спасибо. А из за чего могут быть ошибки о которых писал чуть выше?
"[-] mapping_data_source::init error: file not found"