Добрый день уважаемые.
Никак не могу избавиться от кучки зловредов засевших в машине, на рабочем столе постоянно появляются странички с линками на какой-то китайский сайт. ХайДжеком не фиксится.
Помогите решить проблему.
Printable View
Добрый день уважаемые.
Никак не могу избавиться от кучки зловредов засевших в машине, на рабочем столе постоянно появляются странички с линками на какой-то китайский сайт. ХайДжеком не фиксится.
Помогите решить проблему.
Сделайте логи этим [URL="http://gjf.hotbox.ru/mink.pif"]AVZ[/URL].
Его обновлять не нужно.
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\user\application data\tqnkheby\tqnkheby.exe');
TerminateProcessByName('c:\windows\alg.exe');
QuarantineFile('J:\!RABOTA\avz4\avz4\avz4\avz.exe','');
QuarantineFile('C:\WINDOWS\mys\Qvod9812,586.dll','');
DelBHO('{8227E401-6026-4272-9393-628BDE6B5DC3}');
QuarantineFile('C:\WINDOWS\system32\902EBC\0C73F1.EXE','');
QuarantineFile('C:\WINDOWS\alg.exe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\system.vbe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\tqnkheby\tqnkheby.exe','');
QuarantineFile('C:\WINDOWS\system32\amCF.dll','');
QuarantineFile('c:\documents and settings\user\application data\tqnkheby\tqnkheby.exe','');
QuarantineFile('c:\windows\alg.exe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\iecollection.vbe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\dlldll.vbe','');
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Client\acdev.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\bjmtb.sys','');
SetServiceStart('tqnkheby', 4);
SetServiceStart('sengkxw', 4);
DeleteService('sengkxw');
DeleteService('tqnkheby');
DeleteFile('c:\windows\alg.exe');
DeleteFile('c:\documents and settings\user\application data\tqnkheby\tqnkheby.exe');
DeleteFile('C:\WINDOWS\system32\amCF.dll');
DeleteFile('C:\Documents and Settings\User\Application Data\tqnkheby\tqnkheby.exe');
DeleteFile('C:\WINDOWS\system32\drivers\bjmtb.sys');
DeleteFile('C:\WINDOWS\alg.exe');
DeleteFile('C:\WINDOWS\system32\902EBC\0C73F1.EXE');
DeleteFile('C:\WINDOWS\mys\Qvod9812,586.dll');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\dlldll.vbe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\iecollection.vbe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\system.vbe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Далее пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Пролечитесь от файловых вирусов - [url]http://virusinfo.info/showthread.php?t=15927[/url]
Сделайте новые логи по правилам
Файл сохранён как 100520_142317_virus_4bf50d954beda.zip
Размер файла 456833
MD5 405684656a634647e43d6612f86ec852
[QUOTE=DefesT;640620]
Сделайте новые логи по правилам[/QUOTE]
- выполните просьбу
новые логи
Насколько я понял проблема решена?
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\alg.exe');
QuarantineFile('c:\windows\alg.exe','');
DelBHO('{BDBA6FBD-4F34-4E80-BEE0-B3D075EBFFCE}');
DeleteFile('c:\windows\alg.exe');
DeleteFile('C:\WINDOWS\mys\Qvod9812,586.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам virusinfo_syscheck.zip и hijackthis.log
Файл сохранён как 100522_101327_virus_4bf7760706646.zip
Размер файла 105329
MD5 c7cf9b93c8c41cc09e8abe0b8de03af9
Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
в остальном все в порядке?
Не совсем. Имеется подозрительны процесс c:\windows\alg.exe.
Проснить ситуацию можно так:
Установите AVZPM через меню AVZ.
Перезагрузите компьютер.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
А SP3 по любому надо ставить.
Увы, комп пришлось отдать, так что тему можно закрывать:( Спасибо всем за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]57[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\application data\tqnkheby\tqnkheby.exe - [B]Trojan.Win32.Agent2.crqi[/B] ( DrWEB: Trojan.Siggen1.30707, BitDefender: Trojan.Generic.4030910 )[*] c:\windows\mys\qvod9812,586.dll - [B]Trojan.Win32.BHO.agik[/B][/LIST][/LIST]