Printable View
День добрый. Почистил тут компутер знакомого, однако комп тормозит все равно. Проверьте пожалуйста логи. Есть подозрения, что что то осталось.
И кто подскажет, каким образом непонятные файлы баз данных (типа _QSQ559.MB или _QSQ559.DB - по предположению, принадлежат консультанту или гаранту) оказались в автозагрузке. И как их оттуда выдрать. и почему они оказались в папке C:\Documents and Settings\Имя_пользователя?
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\rdl5B.tmp','');
QuarantineFile('C:\WINDOWS\Temp\rdl3C.tmp','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VBB17K42\gaz[1].exe','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\VBB17K42\gaz[1].exe');
DeleteFile('C:\WINDOWS\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=50166[/url]
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\sdra64.exe,
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/QUOTE]
4. Повторите логи.
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
Забыла. Выполните [url]http://virusinfo.info/showthread.php?t=43700[/url]
Выполнил все, только не пофиксил в hijackthis последние два пункта за их отсутствием. Карантин отправлен. Повторяю логи.
Вроде сделал. Лог hijack не хочет прикрепляться. Говорит, уже выкладывал я его. Поэтому немного переименован.
Нет, не прикрепляется все равно:(
Вот лог
Остались еще вредители?
[QUOTE=makstor;433540] Лог hijack не хочет прикрепляться. Говорит, уже выкладывал я его.[/QUOTE]
Потому что не пофиксили ничего, лог не изменился.
Пофиксите то что было указано + еще вот это:
[CODE]
O1 - Hosts: 66.96.208.249 www.vkontakte.ru
O1 - Hosts: 66.96.208.249 vkontakte.ru
O1 - Hosts: 66.96.208.249 mail.yandex.ru
O1 - Hosts: 66.96.208.249 mail.rambler.ru
O1 - Hosts: 66.96.208.249 www.odnoklassniki.ru
O1 - Hosts: 66.96.208.249 odnoklassniki.ru
O1 - Hosts: 66.96.208.249 www.loveplanet.ru
[/CODE]
Перезагрузите компьютер и повторите лог HijackThis.
Вот новый лог.
[QUOTE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\sdra64.exe,
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\123\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/QUOTE]
Таких нету в hijackthis
Очистите папку [B]C:\WINDOWS\Temp[/B].
Выполните это: [url]http://virusinfo.info/showthread.php?t=43700[/url].
Больше ничего плохого не видно.
Если зарегистрированы на сайтах, упомянутых в сообщении #6, меняйте пароли обязательно.
Все сделал, c:\Windows\Temp очистил. Спасибо :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\vbb17k42\gaz[1].exe - [B]Trojan.Win32.VkHost.ac[/B][*] c:\windows\temp\rdl3c.tmp - [B]Trojan.Win32.VkHost.ac[/B][*] c:\windows\temp\rdl5b.tmp - [B]Trojan.Win32.VkHost.ac[/B][/LIST][/LIST]