Get Accelerator требует смс

[Qiao]

Добрый день.

На рабочем столе стала появляться табличка

доступ в интернет заблокирован в связи с нарушением лицензионного соглашения программы Get Accelerator. необходимо активизировать вашу копию! Чтобы получить регистрационный код, отправьте СМС с кодом 262062961 на номер 1350. В ответ получите сообщение с кодом активации. Попытка обмануть систему активацими может причинить вред компьютеру

По совету в интернете перевёл часы на три дня вперёд. Табличка пропала, хотя при старте появляется ошибка.

Помогите, пожалуйста, избавиться от этого вируса.

[snifer67]

Запустите утилиту в аттаче get.zip,ПК перезагрузится. Повторите логи.

[Qiao]

Сделал.

Ошибка после перезагрузки всё равно вылетает.

---------------------------
RUNDLL
---------------------------
Ошибка при загрузке tftp.nfo

Не найден указанный модуль.


---------------------------
ОК
---------------------------

[PavelA]

Профиксить:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tftp.nfo beforegllav
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\iimixjag.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\iimixjag.SYS');
 ExecuteRepair(13);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить заново логи.
Прислать карантин по красной ссылке.

[Qiao]

Ошибка при старте исчезла.
Карантин отправил.

[PavelA]

Лог Гмера сделайте.

Добавлено через 2 минуты

Выполнить скрипт:

Код:

begin
deletefilemask('C:\Documents and Settings\яяя\Local Settings\Temp\','*.*',false); 
RebootWindows(true);
end.

[Qiao]

Гмер до конца проверить не может - компьютер перезагружается после синего экрана.
В приложении тот кусок лога, который успел сделаться.

Вначале рапортует

Код:

Service  C:\WINDOWS\system32\svchost.exe (*** hidden *** )  [AUTO] syghze   <-- ROOTKIT !!!

Скрипт сделал.

[thyrex]

Перед созданием лога gmer отключаете защитный софт?

Сохраните текст ниже как cleanup.bat в ту же папку, где находится uwz475zz.exe (gmer)

Код:

uwz475zz.exe -del service syghze
uwz475zz.exe -del file "C:\WINDOWS\system32\cyehof.dll"
uwz475zz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\syghze"
uwz475zz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\syghze"
uwz475zz.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\яяя\local settings\temp\e.tmp - Backdoor.Win32.Bredavi.ayy ( BitDefender: Trojan.Generic.2314176, AVAST4: Win32:Small-NAD [Trj] )