Показано с 1 по 14 из 14.

Закачка из интернета, после проблемы qttaks.exe (заявка № 14331)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    14
    Вес репутации
    60

    Exclamation Закачка из интернета, после проблемы qttaks.exe

    Добрый день.
    Недавно появились проблемы с интернетом и сегодня был обнаружен дикий тормоз всего компа.
    Был найден процесс qttask.exe, обезврежен drweb'ом в безопасном режиме, но полного исчезновения проблемы не удалось достичь..
    Помогите найти и решить проблему.

    Никита.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
      BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    после перезагрузки еще один....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\w32drv0.exe','');
    QuarantineFile('C:\WINDOWS\system32\w32drv1.exe ','');
     QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
     QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
     DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
     DeleteFile('protect.sys');
     DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\w32drv0.exe');
    DeleteFile('C:\WINDOWS\system32\w32drv1.exe ');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    очистите временные интернет файлы ...
    пришлите карантин согласно приложения 3 правил...
    повторите логи....

  4. #3
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    14
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт...
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
      BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    после перезагрузки еще один....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\w32drv0.exe','');
    QuarantineFile('C:\WINDOWS\system32\w32drv1.exe ','');
     QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
     QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
     DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
     DeleteFile('protect.sys');
     DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\w32drv0.exe');
    DeleteFile('C:\WINDOWS\system32\w32drv1.exe ');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    очистите временные интернет файлы ...
    пришлите карантин согласно приложения 3 правил...
    повторите логи....
    выполнил логи,
    очистил,
    выслал карантин,
    повторяю логи..

    Никита.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\System32\drivers\protect.sys Rootkit.Win32.Agent.jj
    C:\WINDOWS\system32\w32drv1.exe Trojan-PSW.Win32.LDpinch.edh
    C:\WINDOWS\system32\w32drv0.exe Trojan-Downloader.Win32.Agent.fej
    c:\docume~1\user\locals~1\temp\winlogon.exe - никто не детектит ... пока
    C:\DownloadNikita\xilisoft\xilisoft\Crack\Crack.ex e Trojan.Generic.4255
    C:\Program Files\Xilisoft\DVD Ripper Platinum 4\Crack.exe Trojan.Generic.4255
    C:\Program Files\Xilisoft\DVD Ripper Platinum 4\UILib71.dll.bak -чистый ...
    startnt.bat -чистый ...

    Добавлено через 5 минут

    пофиксите...
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог... Hijack
    Последний раз редактировалось V_Bond; 19.11.2007 в 22:41. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    14
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    C:\WINDOWS\System32\drivers\protect.sys Rootkit.Win32.Agent.jj
    C:\WINDOWS\system32\w32drv1.exe Trojan-PSW.Win32.LDpinch.edh
    C:\WINDOWS\system32\w32drv0.exe Trojan-Downloader.Win32.Agent.fej
    c:\docume~1\user\locals~1\temp\winlogon.exe - никто не детектит ... пока
    C:\DownloadNikita\xilisoft\xilisoft\Crack\Crack.ex e Trojan.Generic.4255
    C:\Program Files\Xilisoft\DVD Ripper Platinum 4\Crack.exe Trojan.Generic.4255
    C:\Program Files\Xilisoft\DVD Ripper Platinum 4\UILib71.dll.bak -чистый ...
    startnt.bat -чистый ...

    Добавлено через 5 минут

    пофиксите...
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите лог... Hijack
    Все сделал.
    А как почистить вирусы в system32?
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    все что было в system32 убито ... активного заражения нет ...

  8. #7
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    14
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    все что было в system32 убито ... активного заражения нет ...
    А что осталось?

    Никита.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    остались ваши кряки советую немедленно удалить...
    C:\DownloadNikita\xilisoft\xilisoft\Crack\Crack.ex e Trojan.Generic.4255
    C:\Program Files\Xilisoft\DVD Ripper Platinum 4\Crack.exe Trojan.Generic.4255

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    14
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    остались ваши кряки советую немедленно удалить...
    C:\DownloadNikita\xilisoft\xilisoft\Crack\Crack.ex e Trojan.Generic.4255
    C:\Program Files\Xilisoft\DVD Ripper Platinum 4\Crack.exe Trojan.Generic.4255
    А, ну это давно сделано..
    Спасибо огромное!
    Попытаюсь все компьютеры таким образом проверить.
    Поизучаю как обезопасится в интернете.. Впервые за 10 лет такую жесть встречаю..

    Никита.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    если что-то из этого не нужно советую отключить ...
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  12. #11
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    14
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    если что-то из этого не нужно советую отключить ...
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    На это обратил внимание давно..
    Где почитать как это отключить?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от НикитаИ Посмотреть сообщение
    На это обратил внимание давно..
    Где почитать как это отключить?
    в самом логе нажать на нужные ссылки, получиться скрипт для выполнения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Agent.rr (DrWEB: Trojan.Spambot.2496)
      2. c:\\docume~1\\user\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Agent.rr (DrWEB: Trojan.Spambot.2496)
      3. c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
      4. c:\\windows\\system32\\w32drv0.exe - Trojan-Downloader.Win32.Agent.ffn (DrWEB: BackDoor.Bulknet.92)
      5. c:\\windows\\system32\\w32drv1.exe - Trojan-PSW.Win32.LdPinch.edh (DrWEB: Trojan.MulDrop.9575)


  • Уважаемый(ая) НикитаИ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы со скоростью интернета
      От alexfon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.09.2010, 15:05
    2. Проблемы с работой интернета
      От Dolphin в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 25.01.2010, 18:52
    3. Проблемы со скоростью интернета
      От monchi в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.09.2009, 22:22
    4. Проблемы с работой интернета
      От Elena_gp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.03.2009, 00:08
    5. После закачки AVZ4 проблема.
      От sveuga в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.04.2008, 19:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01119 seconds with 18 queries