Здравствуйте уважаемые.
При каждом включении IObit находит Backdoor.Tr и фиксит, затем по новой. Комп тормозит.
Свежая утилита DrWeb в безопасном режиме ничего не находит.
Подскажите что можно пофиксить согласно логам.
Заранее респект. Владимир.
Здравствуйте уважаемые.
При каждом включении IObit находит Backdoor.Tr и фиксит, затем по новой. Комп тормозит.
Свежая утилита DrWeb в безопасном режиме ничего не находит.
Подскажите что можно пофиксить согласно логам.
Заранее респект. Владимир.
Здравствуйте
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Гмер
quarantine.zip послал.
Не понял с Гмер, что копировать в него?
-Скачайте антируткитную программу Gmer.. Запустите программу (в Vista нужно запускать правой кнопкой от имени администратора*).
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.
Gmer видимо долго будет сканировать?
Придётся подождать.
Вот лог.
После перезагрузки IObit опять нашла эту дрянь (Backdor.Trojan).
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\qvduxmtt.dll',''); DeleteFile('C:\WINDOWS\System32\qvduxmtt.dll'); BC_ImportALL; ExecuteSysClean; BC_ServiceKill('hqcbllple'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
Доброе утро.
Скрипт в AVZ выполнил.
Логи какие прислать: Gmer, или hijackthis?
Сделал эти.
Что еще можно пофиксить?
Заранее респект.
Пофиксите в HijackThis:
Больше ничего плохого не видно.Код:R3 - Default URLSearchHook is missing O20 - Winlogon Notify: windmv32 - windmv32.dll (file missing)
Какие-то проблемы наблюдаются?
I am not young enough to know everything...
Спасибо и уважение, - после перезагрузки IObit больше не находит злополучный Backdoor.Trojan.
Может что-нибудь еще пофиксить, для увеличения производительности?
Добавлено через 5 минут
Особенно интересует, почему заходя в пуск-все программы.., осталась одна только колонка, вместо трех, как было раньше?
Последний раз редактировалось volodik99; 22.02.2011 в 16:50. Причина: Добавлено
Нет у меня прокрутки в трэкболе. И в настройках галка снята. Как исправить ума не приложу?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sdra64.exe - Trojan-Spy.Win32.Zbot.bbrm ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.KD.136508, NOD32: Win32/Spy.Zbot.JF trojan, AVAST4: Win32:Kryptik-AHL [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) volodik99, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.