Показано с 1 по 17 из 17.

Очередная жертва вируса iLite Net Accelerator (заявка № 64311)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32

    Thumbs up Очередная жертва вируса iLite Net Accelerator

    На работе поймали эту гадость. При запуске ругается на ошибки в alg.exe и wuauclt.exe. Убивается NOD32, выскакивает окно вируса. Иногда если есть несколько секунд, то можно зайти в Мой компьютер. В защищенном режиме все также.
    Почитал несколько вариантов лечения отсюда.
    Скачал вчера свежий LiveCD от DrWeb. Прогнал полностью диски. Он ничего совершенно не нашел. Из под него записал на второй логический диск свежий AVZ.
    Удалил из под LiveCD все файлы из всех аккаунтов из папок Temp, из C:\Temp.
    Удалил все System Volume.
    Удалил все Temporary Internet Files.
    Удалил все RECYCLER.
    Запускаю в защищенном режиме, при попытке войти в папку AVZ комп идет на перезагрузку.
    Иногда в защищенном режиме выскакиевает ошибка svchost.exe и появляется окно таймера выключения компьютера как при старом Blaster.
    Переименовал папку AVZ в GAMES, а сам файл в куку.pif )
    В папку теперь войти могу, но при запуске файла тут же выскакивает окно вируса и AVZ не запускается.

    Сейчас попробую загрузиться с Windows LiveCD и запустить из под него AVPTool вчерашнюю вечернюю.

    Неужели до сих пор не найдено кардинального лекарства?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Hijack запускается ?

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Не пробовал.
    Сейчас попробую. Пока еще не запустил под WinLiveCD проверку.
    Запускать его под WinLiveCD есть смысл или только из под защищенного режима?

  5. #4
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Переименовал на всяк пожарный файл Hijack в kuku.pif Записал его на зараженную машину из под WinLiveCD (боюсь совать так просто флэшку на эту машину).
    Зашел в защищенном режиме, запустил, запустил "Do a system scan and save a logfile". Просканировалось. затем спросилось что не найден файл log и предложило его создать. После ответа ДА, комп ушел на выключение.
    Запустился под WinLiveCD, никакого лог файла я не обнаружил нигде.
    Программу запускал с корня диска D.
    Запустил Hijack из под WinLiveCD. Записал лог файл. Выкладываю сюда.
    Рабочие диски C и D. Остальное от флэшки (Е) и от LiveCD (B, X).
    Последний раз редактировалось Lqaz; 25.04.2010 в 12:14.

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Запустил из под WinLiveCD установку AVPTool. По умолчанию он ставилс на диск B т.е. который создал WinLiveCD. При установке было три раза окошко "Установка не выполнена", в самом начале установки, но при ОК установка продолжалась.
    Не стал запускать его на диске B. Сразу же удалил и заново поставил на физический диск D в корень. Ошибки при установке были также три раза.
    Сейчас запустил проверку AVPTool из под все того WinLiveCD. О результате отпишусь.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Lqaz Посмотреть сообщение
    Запустил Hijack из под WinLiveCD. Записал лог файл. Выкладываю сюда.
    Это лог самой Live, он не несет никакой информации о зараженной системе.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Ну я так и подумал.
    Ох и хитрая же эта зараза. Силы бы вирусописателя да в мирное русло....

    Добавлено через 30 минут

    AVPTool нашел 898 зараженных обьектов.-

    Trojan-Dropper.Win32.Agent.bjrl в кэше Нода
    Trojan-Downloader.Win32.Piker.adu в библиотеках C:\Windows\System32\
    Trojan-Banker.Win32.Bancos.kdj в C:\Windows\system32\sdra64.exe

    Сначала просканировал компьютер без лечения, потом запустил лечение и удаление на папки с инфекцией.
    Сейчас он их удаляет, но на каждую библиотеку пишел-"Удалено и сделана резервная копия". Куда он кладет резерную копию? Как бы она совсем мне не нужна, да еще и завирусованная....)
    Последний раз редактировалось Lqaz; 19.12.2009 в 14:57. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Lqaz Посмотреть сообщение
    Trojan-Downloader.Win32.Piker.adu в библиотеках C:\Windows\System32\
    Trojan-Banker.Win32.Bancos.kdj в C:\Windows\system32\sdra64.exe
    Ну тогда надо полагать баннера уже не будет, можете запускать свою систему и делать логи, дочистим мусор.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    В Защищенном режиме выполнил скрипты.
    Последний раз редактировалось Lqaz; 25.04.2010 в 12:14.

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Hijack это D:\kuku.pif
    AVZ это d:\games\kuku.pif

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O20 - AppInit_DLLs: C:\WINDOWS\system32\gb.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\gb.dll','');
     DeleteFile('C:\WINDOWS\system32\gb.dll');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=64311).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика, в нормальном режиме).
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Запустился в Обычном режиме.
    Запустил HijackThis, выполнил проверку, сохранил лог до фикса, выполнил фикс, сохранил лог.
    Запустил AVZ, выполнил скрипт.
    Перегрузился комп.
    Выполнил из Стандартных скриптов 3, перегрузил, и 2.
    "Сделайте новые логи (только п.2 и 3 раздела Диагностика, в нормальном режиме)."
    Что такое раздел Диагностика-не нашел.
    Логи прилагаю.
    Есть небольшой карантин.
    Выкладываю также и его.


    Hijack это D:\kuku.pif
    AVZ это d:\games\kuku.pif
    Последний раз редактировалось Lqaz; 25.04.2010 в 12:14.

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Не забыли про меня? Понимаю конечно, что у вас большое количество таких несчастных...)

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Чисто

    Установите SP3 (может потребоваться активация) + все новые заплатки

  16. #15
    Junior Member Репутация
    Регистрация
    19.06.2009
    Адрес
    Салехард ЯНАО
    Сообщений
    70
    Вес репутации
    32
    Спасибо!

    Добавлено через 19 минут

    А какой нибудь антивирус уже научился ловить и лечить эту гадость полностью?
    Последний раз редактировалось Lqaz; 19.12.2009 в 21:45. Причина: Добавлено

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Trojan-Banker.Win32.Bancos.kdj - этот любит воровать пароли. Их лучше поменять, если храните в системе.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Lqaz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. И еще iLite Net Accelerator
      От Beck2006 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.12.2009, 16:43
    2. iLite Net Accelerator
      От Mistreated в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.12.2009, 23:54
    3. iLite Net Accelerator
      От Synthetic_God в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.12.2009, 16:11
    4. iLite Net Accelerator
      От Vedmedya в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 18.12.2009, 15:18
    5. ilite net accelerator
      От koldyn в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.12.2009, 11:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00788 seconds with 16 queries