Большие подозрения на вирус.

Printable View

21.04.2009, 17:32
Artur2316

Вложений: 3

Большие подозрения на вирус.

Здравствуйте. Есть подозрение на вирус(ы). Комп тормозит сильно.
Антивирусы ничего не показывают. Помогите.
21.04.2009, 18:08
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');
QuarantineFile('c:\windows\system32\conf\svchost.exe','');
DeleteFile('c:\windows\system32\conf\svchost.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторить логи.
Загрузить карантин.
21.04.2009, 18:14
Artur2316

чтото сидит?
21.04.2009, 18:26
PavelA

Либо следы в реестре, либо зверь.
Указания наши надо выполнять, раз уж пришли сюда.
21.04.2009, 19:30
Artur2316

[QUOTE=PavelA;390791]Либо следы в реестре, либо зверь.
Указания наши надо выполнять, раз уж пришли сюда.[/QUOTE]

потерял удаленный доступ к зараженной машине. сорри. связь восстановлена, делаю логи.
21.04.2009, 19:52
Artur2316

Вложений: 3

логи

новые логи приложил. карантин грузится
21.04.2009, 19:54
PavelA

То, что убивали, удалилось.
Вот это можно зачистить для порядка:
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/CODE]
21.04.2009, 19:58
Artur2316

[QUOTE=PavelA;390854]То, что убивали, удалилось.
Вот это можно зачистить для порядка:
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/CODE][/QUOTE]

чем зачищать? просто dll убить?
21.04.2009, 20:05
PavelA

Нет, в Хиджаке профиксить.
21.04.2009, 20:24
Artur2316

пофиксил. идет перегруз.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

что же всетаки было? следы или зверек?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

вроде не тормозит более. спасибо. на всякий случай запустил cureit на полный скан. еще раз спасибо.
22.04.2009, 10:54
PavelA

По карантину пока ответа нет из лаборатории, слишком большой он получился.
Если вот это есть в карантине: 'c:\windows\system32\conf\svchost.exe', то можно прислать отдельным файлом. Он быстрее провериться.
23.04.2009, 10:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]69[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\r_server.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.22[/B][/LIST][/LIST]