Почистил много живности.
День добрый. Почистил тут компутер знакомого, однако комп тормозит все равно. Проверьте пожалуйста логи. Есть подозрения, что что то осталось.
И кто подскажет, каким образом непонятные файлы баз данных (типа _QSQ559.MB или _QSQ559.DB - по предположению, принадлежат консультанту или гаранту) оказались в автозагрузке. И как их оттуда выдрать. и почему они оказались в папке C:\Documents and Settings\Имя_пользователя?
Вложения
Последний раз редактировалось makstor; 17.07.2009 в 15:04 .
Причина: Забыл момент
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\rdl5B.tmp','');
QuarantineFile('C:\WINDOWS\Temp\rdl3C.tmp','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VBB17K42\gaz[1].exe','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VBB17K42\gaz[1].exe');
DeleteFile('C:\WINDOWS\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=50166
3. Пофиксите в HijackThis:
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\sdra64.exe,
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
4. Повторите логи.
Добавлено через 15 минут
Забыла. Выполните http://virusinfo.info/showthread.php?t=43700
Последний раз редактировалось Aleksandra; 17.07.2009 в 15:21 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Выполнил все, только не пофиксил в hijackthis последние два пункта за их отсутствием. Карантин отправлен. Повторяю логи.
Вложения
Вроде сделал. Лог hijack не хочет прикрепляться. Говорит, уже выкладывал я его. Поэтому немного переименован.
Нет, не прикрепляется все равно
Вот лог
Остались еще вредители?
Вложения
Последний раз редактировалось makstor; 17.07.2009 в 16:34 .
Сообщение от
makstor
Лог hijack не хочет прикрепляться. Говорит, уже выкладывал я его.
Потому что не пофиксили ничего, лог не изменился.
Пофиксите то что было указано + еще вот это:
Код:
O1 - Hosts: 66.96.208.249 www.vkontakte.ru
O1 - Hosts: 66.96.208.249 vkontakte.ru
O1 - Hosts: 66.96.208.249 mail.yandex.ru
O1 - Hosts: 66.96.208.249 mail.rambler.ru
O1 - Hosts: 66.96.208.249 www.odnoklassniki.ru
O1 - Hosts: 66.96.208.249 odnoklassniki.ru
O1 - Hosts: 66.96.208.249 www.loveplanet.ru
Перезагрузите компьютер и повторите лог HijackThis.
I am not young enough to know everything...
Вот новый лог.
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\sdra64.exe,
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
Таких нету в hijackthis
Вложения
Очистите папку C:\WINDOWS\Temp .
Выполните это: http://virusinfo.info/showthread.php?t=43700 .
Больше ничего плохого не видно.
Если зарегистрированы на сайтах, упомянутых в сообщении #6, меняйте пароли обязательно.
I am not young enough to know everything...
Все сделал, c:\Windows\Temp очистил. Спасибо
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\vbb17k42\gaz[1].exe - Trojan.Win32.VkHost.ac c:\windows\temp\rdl3c.tmp - Trojan.Win32.VkHost.ac c:\windows\temp\rdl5b.tmp - Trojan.Win32.VkHost.ac