QTTask.exe загружает процессор.

Printable View

07.01.2008, 19:10
veryip

QTTask.exe загружает процессор.

Добрый день. Помогите справиться с бедой!!!! qttask.exe загружает процессор. К тому же никак не могу запустить стандартные скрипты и сделать логи (согласно правилам), поскольку AVZ виснет из за этой заразы. Что делать?
07.01.2008, 19:11
rubin

переименовать avz.exe в game.pif
07.01.2008, 19:21
veryip

никакого эффекта. При запуске скрипта AVZ сразу зависает. Может быть можно ручками его придавить?
07.01.2008, 19:24
drongo

Кнопка "Пуск"-> "Выполнить"
набрать msconfig
нажать Enter
выбрать последнюю закладку, в списке найти строчку с упоминанием qttask и снять с нее галочку.
Нажать ОК и перезагрузить компьютер.
После перезагрузки появится окно с запросом на запуск msconfig, поставить галку "больше не запускать" и отменить запуск.
А quicktime советую удалить с компьютера, одним глюком станет меньше. Если уж приспичило фильмы в формате mov смотреть, вот это использовать можно : [url]http://www.free-codecs.com/download/QuickTime_Alternative.htm[/url]

Попробуй сделать логи, не забыть отключить все файрволы, антивирусы и инет...
07.01.2008, 19:36
veryip

Спасибо.AVZ минут 10 висел, и вот сейчас начал скрипт выполнять
07.01.2008, 20:26
veryip

Вложений: 3

УФ... Сделал логи - выкладываю.
07.01.2008, 20:32
zerocorporated

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

И потом повторите логи...
07.01.2008, 21:00
veryip

загрузил карантин. теперь снова запустить скрипты и отправить логи?
07.01.2008, 21:00
Макcим

Да.
07.01.2008, 21:20
veryip

Вложений: 3

Вот новые логи. Спасибо за оперативные ответы:xmas:
07.01.2008, 21:34
V_Bond

пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Arp1349.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Arp1349.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('Arp1349');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
повторите логи...
08.01.2008, 00:07
veryip

Вложений: 3

профиксил. карантин отправил. Выкладываю новые логи...
08.01.2008, 00:13
V_Bond

C:\Program Files\TaoNotes\crack.exe - пришлите по правилам ...
08.01.2008, 00:26
veryip

отправил.
08.01.2008, 00:40
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\TaoNotes\crack.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
вот кто это был ...
[code]
AhnLab-V3 2008.1.8.10 2008.01.07 -
AntiVir 7.6.0.46 2008.01.07 -
Authentium 4.93.8 2008.01.07 -
Avast 4.7.1098.0 2008.01.07 -
AVG 7.5.0.516 2008.01.07 -
BitDefender 7.2 2008.01.07 -
CAT-QuickHeal 9.00 2008.01.07 -
ClamAV 0.91.2 2008.01.07 [B]PUA.Packed.UPack-3[/B]
DrWeb 4.44.0.09170 2008.01.07 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 -
Ewido 4.0 2008.01.07 -
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.07 [B]PossibleThreat!02901[/B]
F-Prot 4.4.2.54 2008.01.07 [B]W32/Heuristic-162!Eldorado[/B]
F-Secure 6.70.13030.0 2008.01.07 -
Ikarus T3.1.1.15 2008.01.07 [B]Trojan-Downloader.Win32.Pux.d[/B]
Kaspersky 7.0.0.125 2008.01.07 -
McAfee 5201 2008.01.07 [B]New Malware.aj[/B]
Microsoft 1.3109 2008.01.07 -
NOD32v2 2772 2008.01.07 -
Norman 5.80.02 2008.01.07 [B]W32/Suspicious_U.gen[/B]
Panda 9.0.0.4 2008.01.07 [B]Suspicious file[/B]
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 [B]Mal/Packer[/B]
Sunbelt 2.2.907.0 2008.01.05 [B]VIPRE.Suspicious[/B]
Symantec 10 2008.01.07 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.07 [B]suspected of Backdoor.XiaoBird.25 [/B](paranoid heuristics)
VirusBuster 4.3.26:9 2008.01.07 [B]Packed/Upack[/B]
Webwasher-Gateway 6.6.2 2008.01.07 -
[/code]
повторите логи ..
08.01.2008, 01:14
veryip

Вложений: 3

Благодарю за Ваше внимаение. Код который вы написали, к сожалению ни о чем мне не говорит. буду очень признателен если Вы в двух словах опишите от какой напасти Вы меня спасли. Выкладываю новые логи.:smile:
08.01.2008, 01:48
V_Bond

'"код" - был дня информации ...
в логах чисто ...
что из этого не используется .. ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
08.01.2008, 10:45
veryip

to V_Bond: Еще раз спасибо за помощь. Вашими стараниями удалось прибить этого паразита:smile:. Также хочу отметить Ваш профессиональный подход к решению проблем. Было очень приятно с Вами работать. Всего доброго. Спасибо.

P.S. Также хочу выразить слова благодарности всем остальным, кто принимал участие в этой "операции":dry:.
22.02.2009, 03:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\taonotes\\crack.exe - [B]Backdoor.Win32.Hupigon.aolt[/B][*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.jp[/B] (DrWEB: Trojan.NtRootKit.422)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan.Win32.Pakes.bqb[/B] (DrWEB: BackDoor.Bulknet.94)[/LIST][/LIST]