Junior Member
Вес репутации
53
Помогите Get Accelerator
Здравствуйте! Поймал этот вирус, который заблокировал доступ в интернет. Скачал DR.Web, проверил, нашел два файла, которые антивирусник удалил. Окно с блокировкой пропало, но снова появилось после запуска Explorera. Проверил еще раз DR.Webом, удалил два файла с расширением sys. После этого сделал по правилам логи. Логи прилагаю. Спасибо.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Это ваши днс 85.255.113.142,85.255.112.67 ?
Если нет то пофиксить в HijackThis
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D487C39-DF70-462B-9EB9-D6CDD28F4066}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{4237164C-F0C8-4A42-9BC2-9C8128B4D8E9}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{490D014B-9897-4505-AB69-6DDD015FB533}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC776670-4E9C-4A17-AB9A-ECEDDFAEA894}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCBC92B4-D521-4639-9B5B-AAF1C4C63F93}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6DFDF5A-D1CF-4B3E-B0EE-82E6A3CF9793}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D487C39-DF70-462B-9EB9-D6CDD28F4066}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.67
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D487C39-DF70-462B-9EB9-D6CDD28F4066}: NameServer = 85.255.113.142,85.255.112.67
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.67
ПК перезагрузите.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdpia.exe','');
QuarantineFile('C:\Windows\system\winload.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\TEMP\~TM1A.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteService('mickey32');
DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\TEMP\~TM1A.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Запустите утилиту в аттаче get.zip. Повторите логи.
get.zip
Junior Member
Вес репутации
53
Подскажите, как мне определить днс?
Junior Member
Вес репутации
53
Профиксил, аттач открыть не могу, пишут: нет полномочий
Вложения
Junior Member
Вес репутации
53
Junior Member
Вес репутации
53
Проблема исчезла. Большое спасибо за оперативную и грамотную помощь.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system\winload.exe','');
QuarantineFile('C:\WINDOWS\system32\kdpia.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ajs87.sys','');
DeleteService('Ajs87');
QuarantineFile('C:\WINDOWS\system32\osoy773.exe','');
DeleteService('Google Online Services');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Ajs87.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Карантин выслал
Файл сохранён как 091207_230952_virus_4b1d6110e518d.zip
Размер файла 4251
MD5 4037be4403310a89780a6774d09323f3
Junior Member
Вес репутации
53
Вложения
C:\WINDOWS\system32\kdpia.exe поищите. Если найдется, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\FONTS\GEE.exe','');
DeleteFile('C:\WINDOWS\FONTS\GEE.exe');
QuarantineFile('C:\WINDOWS\system32\osoy773.exe','');
DeleteService('Dnscache Core LC');
DeleteFile('C:\WINDOWS\system32\osoy773.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
kdpia.exe не нашел. Скрипт выполнил. Карантин выслал. Логи сейчас сделаю.
Файл сохранён как 091208_193425_virus_4b1e8011d0e70.zip
Размер файла 1152
MD5 b0c6dee97b53e8a99a2cbbae08fd9936
Junior Member
Вес репутации
53
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\system\winload.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winload');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\admin\главное меню\программы\автозагрузка\siszyd32.exe - Packed.Win32.Tadym.d ( DrWEB: Trojan.DownLoad1.14707, AVAST4: Win32:Small-NDL [Trj] ) c:\windows\temp\~tm1a.tmp - Trojan-Proxy.Win32.Small.aeo ( DrWEB: Trojan.Proxy.6207, AVAST4: Win32:Malware-gen )