Второй день бьюсь .посмотрите плз
Второй день бьюсь .посмотрите плз
Два дня назад по необходимости искал кисти для фотошопа и на некоторых сайтах отключал аутпост для просмотра картинок,видимо где-то в это время и подхватил сию заразу.
Что это именно Trojan.Qhost.69 мне сказал Dr.Web полсе того как я удалил свой NOD32.Нод не видит его((( Кароче,после того как я захожу в инет у меня вылазит сообщение от аутпоста с запрос на создание процесса (неизвестный): c:\windows.1\system32\71.exe ,Dr.Web показывал сообщение ,что обнаружен вирус с одним из таких сообщений( C:\WINDOWS.1\system32\18.exe - инфицирован Trojan.Qhost.69
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9BVR6NO\expallnew[1].exe - инфицирован Trojan.Qhost.69 ) ну или они чередовались.
p.s. Щас увидел тему точь в точь как у меня проблема http://virusinfo.info/showthread.php?t=52767
Последний раз редактировалось AndreyKa; 23.08.2009 в 21:15. Причина: убрал лишнее
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Удалите все зашитные программы, кроме одного антивируса
- Удалите Crawler Toolbar
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('sdpiosys'); QuarantineFile('C:\WINDOWS.1\system32\drivers\sdpiosys.sys',''); DeleteFile('C:\WINDOWS.1\system32\drivers\sdpiosys.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('sdpiosys'); ExecuteRepair(17); SetAVZPMStatus(True); RebootWindows(true); end.
- Создайте новый файл hosts.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
сделано.проверьте
Сейчас еще НОД вылавливает Win32/Inject и Win32/Ijector.SM при коннекте в инет . Видимо я когда выполнял действия, описанные в пп. 2 Диагностика,тогда и наматал((
+ еще WSHOST32.EXE рвется в сеть
Добавлено через 1 час 37 минут
Если я что-то не так сделал,то скажите.. я переделаю и вышлю заново.
Добавлено через 6 часов 12 минут
а про меня забыли
подскажите пожалста,что мне делать?
Последний раз редактировалось Rene-gad; 24.08.2009 в 10:45.
Вы уже выспались? Я вам завидую... А в Германии ещё не проснулись. Подождите.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows.1\msdrive32.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe'); QuarantineFile('C:\WINDOWS.1\msdrive32.exe',''); DeleteFile('C:\WINDOWS.1\msdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Карантин закачан.
Файл сохранён как090824_114213_virus_4a924455058a8.zipРазмер файла181641MD5ec1afcac36992cc7475add8cd0273900
И остальные файлы как Вы просили.
-Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows.1\system32\wshost32.exe'); QuarantineFile('C:\WINDOWS.1\system32\wshost32.exe',''); DeleteFile('C:\WINDOWS.1\system32\wshost32.exe'); DeleteFile('c:\windows.1\system32\cssdll32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Карантин загрузил.
Файл сохранён как090824_132050_virus_4a925b72ea629.zip
Размер файла231522
MD50929759e4888a9b293586f1f1dbb7ae7
И остальные файлы ниже..
Удалите, оно ни к чемуКод:C:\Program Files\SUPERAntiSpyware C:\Program Files\Lavasoft\Ad-Aware
Поищите в АВЗ/Сервис/Поиск по реестру
и удалите эту запись - это остатки COMODO.Код:c:\windows.1\system32\cssdll32.dll
Больше ничего враждебного не увидел.
Все понял.
Сделал как писали.Ничего подозрительного в работе компа не замечено до сего момента,надеюсь,что так будет и дальше.
Спасибо огромное за помощь!!!
P.S. Если есть какие-то рекомендации,то все непременно прислушаюсь.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 42
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe - Trojan-Dropper.Win32.Agent.bben ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Dropper.TEC, NOD32: Win32/Peerfrag.AU worm, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows.1\msdrive32.exe - Trojan-Dropper.Win32.Small.dta ( DrWEB: Trojan.Qhost.69, BitDefender: IRC-Worm.Generic.6253, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows.1\system32\wshost32.exe - Trojan-Downloader.Win32.Agent.cner ( DrWEB: Trojan.Qhost.69, BitDefender: Application.Generic.198223, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Trojan-gen {Other} )
Уважаемый(ая) zz_ee, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.