инфицированный комп.

[arinaa]

Здравствуйте. Выкладываю логи диагностики. Переодически комп. виснет и приходиться в ручную чистить файл Host так как иногда не могу зайти на ряд сайтов. Спасибо!

[Info_bot]

Уважаемый(ая) arinaa, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
- отключитесь от сети

В HiJackThis пофиксите:

Код:

O20 - AppInit_DLLs: winmm.dll

В AVZ выполните скрипт:

Код:

procedure ScanKates(Name: String);
var Str: String;
    Info: String;
begin
 if RegKeyParamExists('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name)
  then
   begin
    Str:= RegKeyStrParamRead('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32', Name);
    Info:= 'Найден параметр ' + Name + ', связанный с ' + Str; 
    AddToLog(Info);
    if Pos(' ', Str)<>0 then Str:= Copy(Str, 1, Pos(' ', Str)-1);
    QuarantineFile(Str,'Kates');
    DeleteFile(Str);
    RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name);
   end;
end;
procedure KillKates;
var i: integer;
begin
 ScanKates('aux');
 for i := 0 to 99 do ScanKates('aux'+IntToStr(i));
 ScanKates('midi');
 for i := 0 to 99 do ScanKates('midi'+IntToStr(i));
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\conn.exe','');
 QuarantineFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak 2nAKBHPPHH','');
 QuarantineFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak','');
 DeleteService('mkdrv');
 QuarantineFile('C:\WINDOWS\vgtbs.sys','');
 DeleteFile('C:\WINDOWS\vgtbs.sys');
 DeleteFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak 2nAKBHPPHH');
 DeleteFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\conn.exe');
ExecuteRepair(13);
KillKates;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите согласно правил (не хватает одного лога!)

[arinaa]

сделала

[миднайт]

В HiJackThis пофиксите:

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)

Если у Вас установлен BitDefender, то C:\Program Files\DrWeb AV-Desk - это нужно деинсталлировать.
В остальном - порядок. Только систему нужно обновить.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Проблема решена?
Пойман:
C:\WINDOWS\vgtbs.sys - Rootkit.Win32.Qhost.er (Trojan.Siggen3.3211)

[thyrex]

Смените все пароли. У Вас побывал и вор паролей Kates

[arinaa]

Спасибо. Ваши рекомендации сделала.
Вроде все работает!
Спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\vgtbs.sys - Rootkit.Win32.Qhost.er ( DrWEB: Trojan.Hosts.5006, BitDefender: Trojan.Generic.KDV.337491, AVAST4: Win32:Rootkit-gen [Rtk] )