Показано с 1 по 18 из 18.

Помогите Get Accelerator (заявка № 62680)

  1. #1
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30

    Exclamation Помогите Get Accelerator

    Здравствуйте! Поймал этот вирус, который заблокировал доступ в интернет. Скачал DR.Web, проверил, нашел два файла, которые антивирусник удалил. Окно с блокировкой пропало, но снова появилось после запуска Explorera. Проверил еще раз DR.Webом, удалил два файла с расширением sys. После этого сделал по правилам логи. Логи прилагаю. Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Это ваши днс 85.255.113.142,85.255.112.67 ?

    Если нет то пофиксить в HijackThis
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0D487C39-DF70-462B-9EB9-D6CDD28F4066}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4237164C-F0C8-4A42-9BC2-9C8128B4D8E9}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CCS\Services\Tcpip\..\{490D014B-9897-4505-AB69-6DDD015FB533}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BC776670-4E9C-4A17-AB9A-ECEDDFAEA894}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BCBC92B4-D521-4639-9B5B-AAF1C4C63F93}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F6DFDF5A-D1CF-4B3E-B0EE-82E6A3CF9793}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.67
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0D487C39-DF70-462B-9EB9-D6CDD28F4066}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.67
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0D487C39-DF70-462B-9EB9-D6CDD28F4066}: NameServer = 85.255.113.142,85.255.112.67
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.67
    ПК перезагрузите.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\kdpia.exe','');
     QuarantineFile('C:\Windows\system\winload.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\~TM1A.tmp','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteService('mickey32');
     DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\WINDOWS\TEMP\~TM1A.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Запустите утилиту в аттаче get.zip. Повторите логи.
    get.zip

  4. #3
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Подскажите, как мне определить днс?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Можете фиксить.

  6. #5
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Профиксил, аттач открыть не могу, пишут: нет полномочий

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Пробуйте отсюда.
    Вложения Вложения
    • Тип файла: zip get.zip (696 байт, 3 просмотров)

  8. #7
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Высылаю новые логи

  9. #8
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Проблема исчезла. Большое спасибо за оперативную и грамотную помощь.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\system\winload.exe','');
     QuarantineFile('C:\WINDOWS\system32\kdpia.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ajs87.sys','');
     DeleteService('Ajs87');
     QuarantineFile('C:\WINDOWS\system32\osoy773.exe','');
     DeleteService('Google Online Services');
     QuarantineFile('C:\WINDOWS\system32\~.exe','');
     DeleteFile('C:\WINDOWS\system32\~.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ajs87.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Карантин выслал
    Файл сохранён как 091207_230952_virus_4b1d6110e518d.zip
    Размер файла 4251
    MD5 4037be4403310a89780a6774d09323f3

  12. #11
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Высылаю новые логи
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    C:\WINDOWS\system32\kdpia.exe поищите. Если найдется, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\FONTS\GEE.exe','');
    DeleteFile('C:\WINDOWS\FONTS\GEE.exe');
     QuarantineFile('C:\WINDOWS\system32\osoy773.exe','');
     DeleteService('Dnscache Core LC');
     DeleteFile('C:\WINDOWS\system32\osoy773.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    kdpia.exe не нашел. Скрипт выполнил. Карантин выслал. Логи сейчас сделаю.
    Файл сохранён как 091208_193425_virus_4b1e8011d0e70.zip
    Размер файла 1152
    MD5 b0c6dee97b53e8a99a2cbbae08fd9936

  15. #14
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Высылаю новые логи.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Windows\system\winload.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winload');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    06.12.2009
    Адрес
    Russia Tver
    Сообщений
    10
    Вес репутации
    30
    Высылаю лог

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Порядок
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin\главное меню\программы\автозагрузка\siszyd32.exe - Packed.Win32.Tadym.d ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Small-NDL [Trj] )
      2. c:\windows\temp\~tm1a.tmp - Trojan-Proxy.Win32.Small.aeo ( DrWEB: Trojan.Proxy.6207, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) ANTP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите (Get Accelerator)
      От co143 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.11.2009, 23:16
    2. Помогите. Get Accelerator
      От afroditochka13 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.11.2009, 17:18
    3. Помогите с Get Accelerator
      От irina442 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.10.2009, 22:43
    4. Помогите с Get Accelerator.
      От yoyoyaya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2009, 16:22
    5. Помогите (Get Accelerator)
      От Михаил1500 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.10.2009, 10:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00376 seconds with 17 queries