Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Вирус Get-Accelerator

Автор: domovoi83
Дата сообщения: 06.12.2009 19:43
Сегодня вылезла та же проблема, только комп стоит в магазине, базы 1С и т.д. и т.п. загрузился с лайв сиди скачал сегодняшний курент проверил нашел эти трояны, все вылечил перезагрузил комп, БОЛЬШЕ ОН НЕ ЗАГРУЗИЛСЯ, комп нужен срочно, щас хотел востановить испорченные файлы диск с ХР не увидел установленую систему короче пипец ЧТО делать х.з. копии баз нет, а точнее уже 1 месяц назад сделана была
Автор: AnDySs1
Дата сообщения: 06.12.2009 20:19

Цитата:
ЧТО делать

Как обычно - грузиться с live-cd , смотреть что на диске и вытаскивать базу.

Цитата:
копии баз нет, а точнее уже 1 месяц назад сделана была

"системные администраторы делятся на тех, кто уже делает бэкапы и тех, кто ещё нет"
(с) кто-то
Автор: Ioanne
Дата сообщения: 06.12.2009 20:32

Цитата:
ЧТО делать


Цитата:
live-cd

И из личного опыта советую R-Studio
Автор: domovoi83
Дата сообщения: 06.12.2009 20:45
а что даст Р студио?, мне работоспособность винды надо востановить
Автор: AnDySs1
Дата сообщения: 06.12.2009 20:51

Цитата:
мне работоспособность винды надо востановить

Ваша первоочередная задача не работоспособность восстановить, а базу вытащить. А уж потом виндой заниматься, имея копию всех требуемых данных. Или базу 1с за месяц сами будете набивать и проводки делать ?
Автор: domovoi83
Дата сообщения: 06.12.2009 21:06
фишка в чем, то что при попытке загрузится, сразу уходит в перезагруз, пытаюсб востановить последнюю удачную, уходит в перезагруз, в безопастный тоже уходит в перезагруз, все в перезагруз, может реестр испортился?

Добавлено:
базу я вытащил
Автор: Ideal Storm
Дата сообщения: 07.12.2009 04:02
Народ, спасибо за советы всё получилось! Щас сижу проверяю систему Dr.Web-ом уже три трояна нашёл хотя до этого стоял NOD 32 и они его не волновали. После того как я удалил GA и перезагрузил комп у меня вылетела ошибка, что невозможно запустить svchost.exe, после чего интернет соединение было активным но в браузерах были просто белые страницы. Что бы это исправить я открыл диспетчер задач и вручную прописал процесс svchost и после этого страницы стали грузиться нормально.

P.S. после удаления этой нечести я прошолся по системе программами Click Cleaner, jv16 power tools 2009, Auslogics BoostSpeed, и двумя антивирусами Dr.Web и NOD 32 хотя ко второму моё доверие резко снизилось.
Автор: Sergey21102
Дата сообщения: 07.12.2009 04:42
В выходные возился с этой гадостью, эту дрянь подцепили мои знакомые, скажу сразу, надо сразу идти на http://virusinfo.info !!!!! с протоколами исследования вашего компа, как их делать описано тут http://virusinfo.info/pravila.html
выполнять скрипты написанные не для вашего компа совершенно бесполезно, почему:
1. названия файлов и их местонахождение может быть совсем другим
2. гадость эта модифируется, в моем случае поиск в яндексе по именам файлов моего случая дал всего три ссылки, и первая была на virusinfo.info. То есть свежачок, Тема началась 3.12.2009
3. вы просто можете испортить свою систему, так как в некоторых случаях удаляются системные файлы.

Интересный казус.... У меня интеренет заработал после того как я снес стоявший там старенький нод32, и перестал работать когда я поставил нод32 4-ой версии вместо старенькой трешки. Нод32 ведь перехватывает весть www трафик и похоже при деинсталяции нод32 восстановил прежние адреса обработчка www трафика.
Дальше, не работают никакие браузеры, не работает WindowsUpdate НО!!!! аська и радмин работают (я компом занимался удаленно)
И последнее, когда я его наконец вылечил комп то совершенно случайно заметил в hosts странным образом появившиеся там подмена адресов на одноклассники и контакт, а ведь когда я начал компом заниматься первым делом посмотрел hosts, он был девственно чист.
Автор: Ideal Storm
Дата сообщения: 07.12.2009 05:00
INF7.tmp    D:\WINDOWS\temp    Win32.HLLW.Shadow.based    Удален.
mssrvc.sys    D:\WINDOWS\system32\drivers    Trojan.NtRootKit.4859    Удален.
atapi.sys    D:\WINDOWS\system32\drivers    Trojan.DownLoad.47257    Удален.
atapi.sys    D:\WINDOWS\system32\dllcache    Trojan.DownLoad.47257    Удален.
av_md.exe    D:\WINDOWS\system32\config\systemprofile    Trojan.Inject.7589    Удален.
winagent.exe    D:\WINDOWS\system32    Trojan.Click.31902    Удален.
av_md.exe    D:\WINDOWS\system32    Trojan.Inject.7589    Удален.
svcnost.exe    d:\program files\internet explorer    Trojan.Siggen.31140    Удален.

список вирусни которую нашёл Dr.Web
Автор: Arhont
Дата сообщения: 07.12.2009 21:18
личил комп от такой же бяки, помогло с начало, смена даты на месяц назад или в перед, потом курейт,всё заработало, затем обновление каспера, который на машине лиц. стоял до актуального состояния (базы устарели на 2 дня), запустил проверку он еще нашел. вредная дрянь.
сколько читал, и тут и на вирус.инфо, и на других ни один файл не повторился.
з.ы.
очень хотелось бы знать механизм как попадает на комп?
Автор: ruslrusl
Дата сообщения: 08.12.2009 07:50

Цитата:
очень хотелось бы знать механизм как попадает на комп?


рассказывала девушка. Она открыла сайт, посмотреть фильм онлайн, запустила и после этого вылезла окошко... какой сайт не помнит

Лечил так: сперва прошелся dr.web`ом не помогло. Стал убирать по одному процессу в автозагрузке. Исчезла после того, как убрал ctfmon.... странно как-то, но помогло
Автор: Ioanne
Дата сообщения: 08.12.2009 18:19
Нет времени больше бороться- время поджимает приговор Format C Автору респект - мозг по*п!

Цитата:
смена даты на месяц назад
- помогло окошко пропало, в очередной раз проверка Curreit - бесполезна, как собственно и другие антивири, процессы убивал толку тоже нет- видимо решение только на virusinfo - но уже нет времени.
Благодарю всех!
З.Ы.
Парочку ложечек всё-же оставил на память - если кому интересно- поделюсь
Автор: Titanwww
Дата сообщения: 09.12.2009 10:59
По поводу нода добавлю свои 5 копеек. Обязательно через f5 включите проверку потенциально нежелательного и потенциально опасного ПО + обновления на винду и офис ставить надо это на порядок снизит риск заражения ПК вирусами

Добавлено:
пользуемся утилитами autoruns от мелкософта для чистки реестра автозапуска, process explorer для снятия нежелательных процессов (программа указывает на зависимые процесы и завершает их понижая уровень важности)
Автор: Ioanne
Дата сообщения: 09.12.2009 12:29

Цитата:
По поводу нода добавлю свои 5 копеек. Обязательно через f5 включите проверку потенциально нежелательного и потенциально опасного ПО + обновления на винду и офис ставить надо это на порядок снизит риск заражения ПК вирусами

Обновления были по сентябрь, в моём случае, офис нет конечно? ну а НОД со свежими обновами и конечно с включенной проверкой нежелательного ПО!
а вот
Цитата:
process explorer
с помощью своей утилитки наводя на окошко- говорил что процесс winlogon.exe!!!
Автор: SuperHamster
Дата сообщения: 09.12.2009 14:30
Народ, слава богу пока такой гадости не ловил, и нет желание. Если кто знает, как эта хрень попадает на компы, поделитесь плз, чтобы предпуредить такую мутотень на работе...

p.s. Уже второй месяц дома сижу без антивиря, раз в неделю прогоняю все CeruIt, пока ни одного вируса не подцепил ^О_О^
Автор: mrDem
Дата сообщения: 09.12.2009 15:00
Вот вы жгёте =)
толькашо убрал эту херь
CureIT для удаления самого файла вируса, кароче запусти какуюнидь чистелку реестра в безопасном режиме(перед этим снеси все не нужные процессы, он гад шифруется под чужие имена),сноси нафИГ ВСЕ ЗАПИСИ ИЗ АВТОРАНА, ну окромя системных.
Теперь посмотри на дисках локальных естьли аутораны, у меня например был autorun.ini на диске С, снеси эту пакость если у тебя есть
сразу же потом запуска CureIT и удаляй вирусы
Если сразу же запустиш куреит то вирь сидит в процессах и восстанавливает свои файлы.
Автор: insectos
Дата сообщения: 15.12.2009 00:08
здравствуйте. на прошлой неделе столкнулся с вирусом get accelerator. вроде победил его с помощью jv16 Power Tools. вчера выскакивает похожее окно с предложенем отправить смс, только вместо "get accelerator" написано "file downloader"... симптомы те же....
какую программу с помощью jv16 Power Tools деинсталировать не знаю. помогите.

Автор: IvANANvI
Дата сообщения: 15.12.2009 08:47
insectos
Попробуйте все же антивирус. DrWeb CureIt, AVZ и т.д. Много полезного по лечению в смежной теме http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=18156&start=140#lt
Автор: HukakHET
Дата сообщения: 15.12.2009 14:58
Удалил эту вещь с двух компов клиентов. На обоих компах стоит NOD32 4 версии, но пришлось удалять ручками. Осталась проблема: не работает инет. Т.е. аська работает, антивирь обновляется, но ни один браузер не работает. На 1 компе браузеры запускаются но не открываются страницы. На втором компе браузер открывается и сразу же закрывается. Любые адреса сайтов на обоих компах пингуются нормально. Host подменял на одном, на втором был нормальный - не помогло. Систему не хочется переставлять, т.к. обоим клиентам винду ставил меньше недели назад Посоветуйте что-либо плиз!
Автор: Arhont
Дата сообщения: 15.12.2009 20:47
они заразили пару системных файлов, у меня каспер их вылечил систему еще не проверял после этого, винт так у меня и лежит.
файлы: (может к тебе не относится)
sfc_os.dll и atapi.sys
попробуй их обновить или винду поверх поставить.

простите за непроверенный ответ, может как вариант подойдет.
Автор: HukakHET
Дата сообщения: 15.12.2009 21:16
atapi.sys менял - к инету никак не относится, а винду неохота переставлять:Ф(
Автор: Vby
Дата сообщения: 16.12.2009 00:02
HukakHET
Попробуйте AVZ
Файл - Восстановление системы
Файл - Мастер поиска и устранение проблем
Автор: YellowAngel
Дата сообщения: 30.12.2009 16:26
29 декабря выявил новую версию Get Accelerator'а. Идентифицируется светлым (ближе к белому) окном с сообщением (простите, деталей сейчас не укажу).
Эффекты:
1. Сеть работает, интернет работает.
2. Попытка запустить практически любую программу безуспешна. В число программ входит: cmd (в т.ч. переименованные версии cmd2, test и т.д.), taskmgr, tasklist, taskkill, far, security task manager (любопытный эффект: при входе в каталог таск менеджера окно проводника автоматом закрывается), любые дистрибутивы. Запускается проводник, интернет эксплорер.
3. Не лечится: DrWeb CureIt, Kasperksy, Portable Trojan Remover, Nod32, Microsoft Security Essentials и еще несколькими антивирусными и антитрояновскими утилитами. Вирус не идентифицируется просто. Соответственно, загрузка со стороннего носителя не помогает.

30 декабря видел аналог на клиентском компьютере. Обрадовал =)

З.Ы. Приятного серфинга =)
Автор: IvANANvI
Дата сообщения: 30.12.2009 18:13
Загрузка со стороннего носителя как раз в этом и может помоч. Например восстановление реестра недельной давности. Либо как я уже указывал поиск скрытых подозрительных файлов с бросающимися именами в системных папках. Подождать два три дня и появится в базах, если самому не охота найти заразу, те более что дальше праздники.
Автор: us0r
Дата сообщения: 02.01.2010 02:16
копипаст с форума дрвеба:
Пофиксите в HijackThis:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe cpcp.cpo bef0regiiav

Страницы: 123

Предыдущая тема: основной шлюз 192.168.0.1 как же создать еще подключение


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.