Показано с 1 по 20 из 20.

windows/system32/cmd.exe при загрузке [Trojan.VBS.Qhost.al ] (заявка № 129492)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42

    windows/system32/cmd.exe при загрузке [Trojan.VBS.Qhost.al ]

    Доброго времени суток
    При загрузке появляется окно windows/system32/cmd.exe в котором написано операция успешно завершена
    Через некоторое время загружается сайт рекламный.

    Думала, что связано с pluginb.exe. Нашла в инете инфу и удалилу в папке Windows
    Но cmd.exe по-прежнему запускается как и сайт

    Помогите, пожалуйста

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) olezya, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Нам нужны логи по правилам:
    http://virusinfo.info/pravila.html
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    спасибо за ответы
    С наступающим Новым годом!
    Высылаю файлы

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaaybve.scr','');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaaybve.scr');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','11614');
     DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DATAMNGR');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

    Сделайте логи RSIT:
    http://virusinfo.info/showthread.php...292#post859292
    и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    отправляю файлы

    спасибо за помощь

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    C:\Windows\Win32.bat - знакомо?

    Тулбары какие не устанавливали сами - удалите через установку/удаление программ.
    Код:
    DefaultTabBHO
    Searchqu Toolbar
    DataMngr
    - Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O4 - HKCU\..\Run: [Win32] C:\Windows\Win32.bat
    O4 - HKLM\..\Policies\Explorer\Run: [] 
    O4 - HKLM\..\Policies\Explorer\Run: [11614] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaaybve.scr
    - Сделайте лог полного сканирования MBAM.


  9. #8
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    Спасибо за помощь
    Win32.bat не знаю, что это...

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите в MBAM всё, кроме:
    Код:
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    
    C:\Documents and Settings\Admin\Мои документы\програми\Swish\Swishzone.com-RES-Patch.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
    C:\Program Files\ZET 9\zetupd.exe (Backdoor.Bot) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\Program Files\UkrGIS\Украина,Киев\1.1\Atlas.exe (Malware.Gen) -> Действие не было предпринято.
    C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
    - - - Добавлено - - -

    Цитата Сообщение от olezya Посмотреть сообщение
    Win32.bat не знаю, что это...
    Удалите...


  11. #10
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    у меня проблемка
    программу удалила - заново пустила проверку-увеличилось количество вирусов

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
     QuarantineFileF('C:\Program Files\d_1\','*', true,'',0 ,0);
    QuarantineFile('C:\WINDOWS\notepad.exe', 'MBAM: Trojan.Agent');
    QuarantineFile('C:\Documents and Settings\Admin\Application Data\fieryads.dat', 'MBAM: Adware.FieryAds');
    QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf', 'MBAM: Malware.Trace');
    QuarantineFile('C:\WINDOWS\system32\drivers\etc\hоsts', 'MBAM: Hijack.Trace');
    QuarantineFile('C:\Program Files\d_1\1_\qqqqq.bat', 'MBAM: Trojan.Downloader');
    QuarantineFile('C:\Program Files\d_1\1_\1.vbs', 'MBAM: Trojan.Downloader');
    QuarantineFile('C:\Program Files\d_1\1_\2.vbs', 'MBAM: Trojan.Downloader');
    QuarantineFile('C:\Program Files\d_1\1_\k1.txt', 'MBAM: Trojan.Downloader');
    QuarantineFile('C:\Program Files\lpd\8\pppa.bat', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\lpd\8\11.vbs', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\lpd\8\71.vbs', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\lpd\8\omg.txt', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\111234\09091\12wgr5yhh.vbs', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\111234\09091\45h56h56h.vbs', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\111234\09091\ad3g3gf.bat', 'MBAM: Trojan.StartPage.ooo');
    QuarantineFile('C:\Program Files\111234\09091\so1.txt', 'MBAM: Trojan.StartPage.ooo');
    DeleteFile('C:\Documents and Settings\Admin\Application Data\fieryads.dat');
    DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
    DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts');
    DeleteFile('C:\Program Files\d_1\1_\qqqqq.bat');
    DeleteFile('C:\Program Files\d_1\1_\1.vbs');
    DeleteFile('C:\Program Files\d_1\1_\2.vbs');
    DeleteFile('C:\Program Files\d_1\1_\k1.txt');
    DeleteFile('C:\Program Files\lpd\8\pppa.bat');
    DeleteFile('C:\Program Files\lpd\8\11.vbs');
    DeleteFile('C:\Program Files\lpd\8\71.vbs');
    DeleteFile('C:\Program Files\lpd\8\omg.txt');
    DeleteFile('C:\Program Files\111234\09091\12wgr5yhh.vbs');
    DeleteFile('C:\Program Files\111234\09091\45h56h56h.vbs');
    DeleteFile('C:\Program Files\111234\09091\ad3g3gf.bat');
    DeleteFile('C:\Program Files\111234\09091\so1.txt');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте новый лог MBAM

  13. #12
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    файл

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Удалите в MBAM всё кроме

    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

    C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Повторите сканирования MBAM и приложите новый лог.

  15. #14
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    мои файлы

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите в MBAM:
    Код:
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.


    Сделайте лог полного сканирования MBAM.


  17. #16
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    Цитата Сообщение от Techno Посмотреть сообщение
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    Это заходит в Интернет и?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от olezya Посмотреть сообщение
    Это заходит в Интернет и?
    Скачивайте обновления и устанавливайте.


  19. #18
    Junior Member Репутация
    Регистрация
    27.12.2012
    Сообщений
    59
    Вес репутации
    42
    влияют ли они на нелецензионую винду?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Возможно потребуется повторная активация...


  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 51
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\alluse~1\\locals~1\\temp\\msaaybve.s cr - Trojan-Downloader.Win32.Andromeda.fsd
      2. c:\\program files\\111234\\09091\\ad3g3gf.bat - Trojan.VBS.Qhost.al


  • Уважаемый(ая) olezya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 03.05.2011, 11:16
    2. Ответов: 2
      Последнее сообщение: 01.03.2010, 18:00
    3. Ответов: 6
      Последнее сообщение: 06.03.2009, 01:53
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:13
    5. Ответов: 5
      Последнее сообщение: 22.02.2009, 02:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01432 seconds with 19 queries