остатки ahnrpta.exe

Printable View

25.09.2009, 13:05
KOTeu4b

остатки ahnrpta.exe

Собственно спасите родителей =)
Приехал к ним... Включил комп каталогов в корнях дисков куча скрытых файлов (abk.bat, autoran.ini, куча файлов и ahnrpta.exe во всей красе.
Что делал: почитал сей форум (который открывается странно об сем позже) повыполнял скрипты для других, потом только почитал правила и как правильно все делать.

Что есть щас: C:\windows\ahnrpta.exe - собственно отсутствует, процесса такого тоже не наблюдаю, но в корнях дисков продолжают появляются только abk.bat и autoran.ini, больше ничего.
Не обновлялаись базы антивирей (Кашперский, ДрВеб, Симантек - после выполнения скриптов не пробывал) Скрытые файлы не видны (кстати в тотал командере их всегда видно оттуда и удалял с корня всякую нечесть)
Данный сайт открывается только через IP на [URL="http://216.246.90.119/forum.php"][SIZE=1][COLOR=#0532aa]VirusInfo[/COLOR][/SIZE][/URL].info посылает нафикх - типо
"
[B]Невозможно отобразить страницу[/B]

[COLOR=black]Эта страница сейчас недоступна. Возможно, это вызвано техническими проблемами на веб-узле, или требуется изменение параметров обозревателя[/COLOR]
"
на [URL]http://216.246.xxx.xxx/newthread.php?do=,бла[/URL] бла бла заходит нормально (с телефона все нормально выходит)
Лог прилагается. Не знаю поможете или нет быстро...
От родителей уезжаю завтра (суббота 26/09/09) в 13,00 по Москве - они не справятся. Просьба, если это возможно погите как смотжете быстро =)
25.09.2009, 13:53
AndreyKa

Начнем, когда будет все логи выложены.
25.09.2009, 13:56
KOTeu4b

Мда прокосячил (((
25.09.2009, 14:29
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('Y:\temp\5.tmp','');
DeleteFile('Y:\temp\5.tmp');
QuarantineFile('C:\WINDOWS\system32\plqcg.dll','');
DeleteFile('C:\WINDOWS\system32\plqcg.dll');
QuarantineFile('N:\abk.bat','');
QuarantineFile('N:\autorun.inf','');
DeleteFile('N:\autorun.inf');
DeleteFile('N:\abk.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте лог [url=http://virusinfo.info/showpost.php?p=351873&postcount=1]Gmer[/url].
25.09.2009, 18:27
KOTeu4b

Сайт стал открываться нормально!
Скрытых файлов не видно.

Правда пропустил Ваш ответ и за это время просто просканил весь комп AVZ-ом ABK.bat & autoran.ini слопала сама и более они не появлялись. (на момент выполнения Вашего скрипта их уже не было ни наодном диске) Полагаю что в присланом карантине старые файлы. gmer.log прилагается.

Спасибо за советы - уже спокойнее =)
25.09.2009, 19:14
AndreyKa

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]q9hmgswc.exe -del service hjeczpy
q9hmgswc.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer.
25.09.2009, 20:01
KOTeu4b

Вот он!
25.09.2009, 20:10
AndreyKa

Чисто.
25.09.2009, 20:23
KOTeu4b

Спасибо все нормально.
Скрытые файлы так и не показываются, что может и хорошо.. чтоб ничего кто-нить не удалил. Если забуриться в свойства папки и тыкнуться "показывать скрытые и системные файлы" и при этом открыто окно браузера то окно в браузере перезагружается (как при нажатие F5). Вот собственно все что осталось. Впрочем как я понял на если "чисто", то не видно =)

Спасибо ещё раз!
25.09.2009, 20:26
AndreyKa

В AVZ меню Файл Восстановление системы - в строчке
8. Восстановление настроек Проводника
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
Включите в Проводнике показ скрытых файлов (если нужно).
25.09.2009, 20:29
KOTeu4b

От темнота. Читал же уже где-то =)
Спасибо.

:clapping:
26.09.2009, 20:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\plqcg.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AE worm, AVAST4: Win32:Rootkit-gen [Rtk] )[*] n:\abk.bat - [B]Trojan-GameThief.Win32.Magania.albs[/B] ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.Generic.1164775, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Kavos [Trj] )[*] n:\autorun.inf - [B]Worm.Win32.AutoRun.wun[/B] ( DrWEB: Win32.HLLW.Autoruner.5599, BitDefender: Trojan.Autorun.ADC, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: VBS:Malware-gen )[*] y:\abk.bat - [B]Trojan-GameThief.Win32.Magania.albs[/B] ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.Generic.1164775, NOD32: Win32/PSW.OnLineGames.NMY trojan, AVAST4: Win32:Kavos [Trj] )[/LIST][/LIST]