-
Junior Member
- Вес репутации
- 53
Последствия Get Accelerator
Добрый день. В ночь со среды на четверг подцепил Get Accelerator. Признаки были как у всех отписавших на этом форуме: блокирован интернет + у каспера были заблокированы большинство функций. Попытка удалить из автозапуска файл siszyd32.exe программой TuneUp не увенчалась успехом (пишет нет прав, хотя вход сделан под администратором).
Вечером в пятницу (04.12.09) попробовал удалить из автозапуска вирус программой autoruns. В результате комп "повис", снятие процесса в диспетчере задач ничего не давало. Выгрузил explorer, перезагрузился, и о, чудо, окно пропало, каспер включился моментально, начал находить трояны - удалять... В TuneUp в автозапуске файл siszyd32.exe оставался.
Прошел полную проверку, как написано в Вашей теме "Правила! Читать перед запросом о помощи!"... и Каспер и Dr.Web CureIt! находили трояны - удалились.
Так то все работает, только одно но... в диспетчере задач Windows в процессах загружено 7 (!!!) файлов svchost.exe, также при открытии Mozila Firefox проактивная защита каспера ругается на попытку svchost.exe пробраться в другой процесс. Я это сделать ему запрещаю.
Мне кажется, это все последствия этого Get Accelerator.
Посмотрите пожалуйста.
Заранее, спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
BC_ImportQuarantinelistList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Количество svchost.exe, висящих в процессах, зависит от количества запущенных служб
-
-
Junior Member
- Вес репутации
- 53
не могу выполнить скрипт. При нажатии в avz кнопки "запустить" в диалоговом окне "запуск скрипта" высвечивается вот такая ошибка:
Ошибка скрипта: Undeclared identifier: 'BC_ImportQuarantinelistList', позиция [3:28]
Мне кажется 2 раза слово list написано, но скрипт решил не переделывать сам...
-
Вот поправленный скрипт.
Код:
begin
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
BC_ImportQuarantinelist;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 53
сделано. в карантине 3 файла...
-
-
-
Junior Member
- Вес репутации
- 53
Может я что-то в правилах не понимаю, делаю вот так (для верности повторяю еще раз):
1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина". - сделал
2. Справа в списке файлов отметьте те файлы, которые нужно выслать. - конкретный файл, который надо выслать не услышан, выделяю все файлы, их 3.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip. - сделано
4. Загрузите полученный архив, используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы. - сделано
Если Вы не получили подтверждения об успешной загрузке файла, спросите в теме, получен ли Ваш карантин, или же загрузку следует повторить. - потверждение получено
-
Карантин получен. Но он пуст.
Файл поищите вручную и, если найдется, запакуйте в архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
сделал. В папке avz есть директория Quarantine, в которой поддиректория с сегодняшней датой. Там 3 файла карантина, каждый файл весит по 211 Байт...эта папка была создана по скрипту, написанному тов.snifer67
-
Нужно искать файл C:\WINDOWS\system32\winsrv.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
найден. что с ним делать? также рядом лежит и файл winsrv.dll
-
C:\WINDOWS\system32\winsrv.exe запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
сделано. зааархивировался только в безопасном режиме, в обычном не давал...
-
-
-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HiJack (если надется)
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\winsrv.exe
Сделайте новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо огромное.
А как можно всё таки избавится от 6 процессов svchost.exe (сейчас их там 7) и одного процесса smss.exe в диспетчере задач Windows?