-
Junior Member
- Вес репутации
- 55
tftp.nfo и restorer32_a.exe! и ещё что то!
Вот у меня такая проблемы, при запуске виндоус выскакивает окно с ошибкой! "Ошибка при запуске tftp.nfo. не найден указаный файл"
и в процесса дофига неизвесного. и комп сильно тупит. ещё вылазет постояно окошко, а какой то ошибке. там по английски.
я сделалал логи!
но в AVZ у меня не делается 1 скрип из указаных. прога виснет на половине выполнения. раз 5 пытался сделать не получалось.
и я сделал 2 скрип из указаных и 3.
помогите. спасибо!
и едет какое то обновление антивируса, причём само. вирус выделывается.
Последний раз редактировалось atz; 31.05.2010 в 01:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Пофиксите в HiJackThis:
Код:
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Андрей\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyP1.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe tftp.nfo beforegllav
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Андрей\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyP1.dll (file missing)
O3 - Toolbar: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyP1.dll (file missing)
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Application Data\ntias64\ntias64.dll','');
QuarantineFile('c:\documents and settings\Андрей\restorer32_a.exe','');
QuarantineFile('c:\windows\system32\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');
DeleteFile('c:\windows\system32\restorer32_a.exe');
DeleteFile('c:\documents and settings\Андрей\restorer32_a.exe');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Application Data\ntias64\ntias64.dll');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
ExecuteRepair(16); {восстановление ключа запуска explorer}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 04.10.2009 в 03:37.
-
-
Junior Member
- Вес репутации
- 55
я сделал как написано.
но у меня всё равно 1 скрипт не выполняеться. я не знаю почему. так же виснет, но уже на остатке окончания на 5 минуте.
я сделал 2 и 3.
Последний раз редактировалось atz; 31.05.2010 в 01:30.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
TerminateProcessByName('c:\documents and settings\Андрей\application data\svcst.exe');
QuarantineFile('c:\documents and settings\Андрей\application data\svcst.exe','');
TerminateProcessByName('c:\documents and settings\Андрей\application data\seres.exe');
QuarantineFile('c:\documents and settings\Андрей\application data\seres.exe','');
DeleteFile('c:\documents and settings\Андрей\application data\seres.exe');
DeleteFile('c:\documents and settings\Андрей\application data\svcst.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
я сделал как вы написали. но вот у меня начал комп сам перезагружаться. уже было пару раз.
1 раз при заходе в оперу и 1 раз при игре в игру.
вот логи!
Последний раз редактировалось atz; 31.05.2010 в 01:30.
-
Больше ничего плохого
Выполнить скрипт
Код:
begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
С нашей помощью Вы нашли и удалили новый вирус, который будет называться Backdoor.Win32.HareBot.qd.
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 44
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\андрей\restorer32_a.exe - Backdoor.Win32.HareBot.qd ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Agent.ANQD )
- c:\windows\system32\restorer32_a.exe - Backdoor.Win32.HareBot.qd ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Agent.ANQD )
-