Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус Get-Accelerator

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5

Открыть новую тему     Написать ответ в эту тему

Jeffadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ijully Читайте инструкцию от DelBoy
Мне помогло до конца убить гада.

Всего записей: 7 | Зарегистр. 26-08-2009 | Отправлено: 13:47 16-10-2009
Dedyshka864

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Короче я воевал 2 вечера с ним и нечего не добился.. точнее сушественного ((
также как у всех выяснил:
1. перевод даты снимет окно и дает время на всякого рада монипуляции
2. Ни один антивир его не лечит (пробывал 4 шт)
3. Поиск в реестре ничего не дал
4. при подключению к инету сразу пытается скачать mod_proxy.dll
 
но борясь с ним я нашел:
1{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll - Trojan.Win32.Zapchast.adw и его удаление не помогает
2 в system32 есть aaamon.exe походу он запускает скачку mod_proxy.dll (хотя может и нет, но покрайней мере восстанавливает файл параллельно со вспыванием окна)
3 на диске С  в корне у меня нашелся вирус ARK4 при удалении которого появляется ARK5 и т.д.(я дошел до 15)
5 ищя в реестре акселератор этот я увидел что дофига его есть в yandex_bar(удаление его не помогло).
 
так что товарищи посмотрите стоит ли у вас это яндекс бар и есть ли вирь ARK...
 
короче чем мог... если кого на мысль натолкнул то хорошо!

Всего записей: 1 | Зарегистр. 16-10-2009 | Отправлено: 14:04 16-10-2009
alextaged

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
выложите пожалуйста рабочий Winlogon.exe для system32 и system32/dllcach для Windows XP SP3
 
Добавлено:
кто-нить пробовал отправить смс? я готов заплатить, если это поможет...

Всего записей: 3 | Зарегистр. 15-10-2009 | Отправлено: 14:33 16-10-2009 | Исправлено: alextaged, 14:44 16-10-2009
vovikgr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
кто-нить пробовал отправить смс? я готов заплатить, если это поможет...

не вздумай!!!
бабла снимут и ниче не сделают

Всего записей: 154 | Зарегистр. 09-10-2004 | Отправлено: 16:54 16-10-2009
dmitri23



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alextaged
http://rapidshare.com/files/293759668/Winlogon.rar.html
MD5: 66E48C684C6B100098C73FDCA1CBE53A

----------
Кому не нравиться, тот может выйти покурить, перебьемся так и быть

Всего записей: 646 | Зарегистр. 02-02-2006 | Отправлено: 17:00 16-10-2009
Said Next One

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробовал то, что предлагали тут раньше.
1. Загрузился с LiveCD
2. Заменил файлы winlogon.exe (они датированы у меня были тем же августом 2004 года, что и файлы с чистого компа. То есть на первый взгляд они нормальные)
3. Удалил dll-ку с длинным названием.
4. Почистил Temp и корзину.
5. Исправил все ошибки в реестре с помощью Registry Help Pro (раньше помогало в борьбе с подобными зверями)  
 
НЕ ПОМОГЛО
 
6. Попробовал ввести код 1943769679
 
НЕ ПОМОГЛО
 
7. Перевел дату в БИОСе на начало месяца и
 
О, ЧУДО!!! Простыня с активацией исчезла.
После этого прогнал сегодняшнюю версию CureIt и она нашла кроме этой dll-ки такой же Trojan.Winlock-342 (номер точно не запомнил, но точно такой же) - файлик dmgr134.sys в папке C:/Windows
После этого пока дату не возвращал. Сцыкотно. Дождусь, пока точно заявят, что антивири этого зверька обнаруживают и тогда уже, прогнав сперва полную проверку,  верну дату назад.

Всего записей: 1 | Зарегистр. 17-10-2009 | Отправлено: 19:55 17-10-2009 | Исправлено: Said Next One, 19:57 17-10-2009
tshudini



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Said Next One
Интересно. Некоторые АВ болезненно переносят некорректную дату.

Всего записей: 504 | Зарегистр. 17-05-2008 | Отправлено: 01:40 18-10-2009
alextaged

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DelBoy  
спасибо.
 
Said Next One,
а как же выключение автораном.exe левых процессов?
 
All,
скажите, что можно использовать вместо       Пуск -> выполнить -> sfc /scannow ?
Я вставил образ винды, которую я устанавливал но процесс sfc /scannow все равно не видит диск и процесс не идет.

Всего записей: 3 | Зарегистр. 15-10-2009 | Отправлено: 16:47 18-10-2009
BarsukovAV



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ijully
С пятницы антивирусы уже знают эту гадость, так что в руки флешку со свежим CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe) и го-го http://forum.drweb.com/index.php?showtopic=284296&st=0&gopid=341814&#entry341814
Ещё лучше подобные проблемы решать тут http://virusinfo.info/pravila.html
 
Добавлено:
alextaged
Можно и проще всего взять диск с виндой, загрузиться с него, потом Enter, F8, R (когда скажет, что найдена предыдущая копия винды). Это восстановление системы, которое копирует оригинальные файлы и по возможности оригинальные настройки.
Но против данного зверя не помогает )

Всего записей: 679 | Зарегистр. 21-04-2005 | Отправлено: 11:38 19-10-2009
ltymub

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отправка СМС на номер 9099 помогает, стоит эта смска 200 рублей (у меня МТС), но отправлять ее приходится дважды. Потом блокировка-то пропадает, но сам Get Accelerator отображается вместо стандартного окошка загрузки файлов Windows. Пока не придумал, что бы с ним сделать.

Всего записей: 2 | Зарегистр. 16-05-2006 | Отправлено: 03:20 20-10-2009
Vorotilin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У клиента решил проблему так:
 
1) Загрузился с BartPE и удалил файл dmgr134.sys
2) Рековери винды...
 
 
P.S.: После удаления файла в нормальном и безопасном режиме - "синий экран 7В"
поэтому надо делать рековери...
 
P.S.S: сегодняшний CureIt тоже его пока не видит....

Всего записей: 67 | Зарегистр. 15-10-2005 | Отправлено: 11:28 20-10-2009 | Исправлено: Vorotilin, 11:31 20-10-2009
GeMoRoJ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Эта зараза размножается при помощи авторана.inf, и той длинной ddl-ки, сует их куда не поподя, мне засунула на флешь, но от туда на другую машину не переехало..
Сейчас попробую его убить и если получится напишу. (благо машина не моя, а то эта зараза затыкает сеть на машине напроч)

Всего записей: 2 | Зарегистр. 26-12-2008 | Отправлено: 16:36 20-10-2009
tshudini



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Странные люди, уже давно есть от панды ЮсбВакцин которая подсаживает на флеку авторан.инф который не выдирается никак кроме формата. Иногда прикольно наблюдать как во флешку ломятся на запись вирусы с зараженного компа и ругаются что не могут записаться А что делать? Приходится иногда и в зараженый тыкать.
Дабы не трендеть попусту вот ссылка куда кинул:
http://гз-ашдуюсщь/download/6300.6b90aa8b679e981940fc4f66f
поменять на англ.

Всего записей: 504 | Зарегистр. 17-05-2008 | Отправлено: 18:57 20-10-2009 | Исправлено: tshudini, 19:13 20-10-2009
dekstero4eg

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я с этой дрянью сёня столкнулся, CureIT ничем не помог. Выдернул винт, подоткнул на рабочую машину, заменил Winlogon в system32 и dllcache, удалил ту самую длинную dll-ку из Windows и оттуда же dmgr134.sys. После перезагрузки виря нет

Всего записей: 441 | Зарегистр. 29-06-2009 | Отправлено: 19:01 20-10-2009
DelBoy

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BarsukovAV
 У меня лично, не получается там написать не одного поста. Что-то я ему не нравилюсь
 
alextaged
  Скорее всего, У вас зборка кого нибуть, хотя вряд ли, попробуйте скачать оригинальные образы дисков (Без встроенных заплаток и прелестей отечественных сборщиков винды). Просто голая винда и паке на ней - официалки.

Всего записей: 2 | Зарегистр. 08-11-2006 | Отправлено: 19:02 20-10-2009
se111



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
а почему AVZ никто не воспользовался?

----------
создание сайтов

Всего записей: 782 | Зарегистр. 21-04-2005 | Отправлено: 20:55 20-10-2009
86525630

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А мне помог Kaspersky Virus Removal от 20.10.09, нашел он все сразу.
А DrWeb CureIt от 20.10.09 ничего не находил, пробуйте

Всего записей: 1 | Зарегистр. 21-10-2009 | Отправлено: 08:21 21-10-2009
BacbBacb

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Итак -
1) regedit - ищем все что есть с dns. удаляем то что имеет отношение к mDNS и dnsapy - именно с "y" ( у меня оно сидело помимо с/пф/бонжура еще в а Эппле ( да да там тоже была папка бонжур )
2) удаляем dmgr134.sys
3) удаляем папку бонжур вручную
4) ребут, меняем дату
5) удаляем {991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll ( с измененной датой удаляется просто так, без проблем )
6) ребут, меняем дату на нормальную
7) ??????????
8) PROFIT!
 
Итог - ваш форум + 10 минут времени. Окно пропало, инет работает.

Всего записей: 1 | Зарегистр. 22-10-2009 | Отправлено: 15:27 22-10-2009
oler2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мне symantec corporate помог

Всего записей: 1189 | Зарегистр. 14-03-2006 | Отправлено: 16:13 22-10-2009
script3



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я пользовался Process Explorer и Unlocker
 
В Process Explorer жмем на winlogon.exe смотрим свойства и видим нитку на {991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll выделяем, внизу жмем kill. Окно должно пропасть. Но после перезагрузки оно вновь появиться. Что-бы не появлялось - заходим в windows/system32 и при помощи Unlocker-а удаляем эту dll-ку, а заодно и windows/dmgr134.sys.
Перегружаемся...
 
Кстати, окно на скриншотах должно сворачиваться по win+d, или при запущенном диспетчере задач правой кнопкой мыши на заголовке окна - свернуть.
У меня было полупрозрачное окно без caption-на, которое не сворачивалось, и отсчет времени шел до 10-ти минут.

Всего записей: 2 | Зарегистр. 26-12-2008 | Отправлено: 10:23 23-10-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус Get-Accelerator


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru