-
Junior Member
- Вес репутации
- 42
windows/system32/cmd.exe при загрузке [Trojan.VBS.Qhost.al
]
Доброго времени суток
При загрузке появляется окно windows/system32/cmd.exe в котором написано операция успешно завершена
Через некоторое время загружается сайт рекламный.
Думала, что связано с pluginb.exe. Нашла в инете инфу и удалилу в папке Windows
Но cmd.exe по-прежнему запускается как и сайт
Помогите, пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) olezya, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member
- Вес репутации
- 42
спасибо за ответы
С наступающим Новым годом!
Высылаю файлы
-
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaaybve.scr','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaaybve.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','11614');
DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DATAMNGR');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
-
-
Junior Member
- Вес репутации
- 42
отправляю файлы
спасибо за помощь
-
C:\Windows\Win32.bat - знакомо?
Тулбары какие не устанавливали сами - удалите через установку/удаление программ.
Код:
DefaultTabBHO
Searchqu Toolbar
DataMngr
- Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [Win32] C:\Windows\Win32.bat
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - HKLM\..\Policies\Explorer\Run: [11614] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaaybve.scr
- Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 42
Спасибо за помощь
Win32.bat не знаю, что это...
-
Удалите в MBAM всё, кроме:
Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\програми\Swish\Swishzone.com-RES-Patch.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\Program Files\ZET 9\zetupd.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\UkrGIS\Украина,Киев\1.1\Atlas.exe (Malware.Gen) -> Действие не было предпринято.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
- - - Добавлено - - -
Сообщение от
olezya
Win32.bat не знаю, что это...
Удалите...
-
-
Junior Member
- Вес репутации
- 42
у меня проблемка
программу удалила - заново пустила проверку-увеличилось количество вирусов
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFileF('C:\Program Files\d_1\','*', true,'',0 ,0);
QuarantineFile('C:\WINDOWS\notepad.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\fieryads.dat', 'MBAM: Adware.FieryAds');
QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf', 'MBAM: Malware.Trace');
QuarantineFile('C:\WINDOWS\system32\drivers\etc\hоsts', 'MBAM: Hijack.Trace');
QuarantineFile('C:\Program Files\d_1\1_\qqqqq.bat', 'MBAM: Trojan.Downloader');
QuarantineFile('C:\Program Files\d_1\1_\1.vbs', 'MBAM: Trojan.Downloader');
QuarantineFile('C:\Program Files\d_1\1_\2.vbs', 'MBAM: Trojan.Downloader');
QuarantineFile('C:\Program Files\d_1\1_\k1.txt', 'MBAM: Trojan.Downloader');
QuarantineFile('C:\Program Files\lpd\8\pppa.bat', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\lpd\8\11.vbs', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\lpd\8\71.vbs', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\lpd\8\omg.txt', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\111234\09091\12wgr5yhh.vbs', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\111234\09091\45h56h56h.vbs', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\111234\09091\ad3g3gf.bat', 'MBAM: Trojan.StartPage.ooo');
QuarantineFile('C:\Program Files\111234\09091\so1.txt', 'MBAM: Trojan.StartPage.ooo');
DeleteFile('C:\Documents and Settings\Admin\Application Data\fieryads.dat');
DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts');
DeleteFile('C:\Program Files\d_1\1_\qqqqq.bat');
DeleteFile('C:\Program Files\d_1\1_\1.vbs');
DeleteFile('C:\Program Files\d_1\1_\2.vbs');
DeleteFile('C:\Program Files\d_1\1_\k1.txt');
DeleteFile('C:\Program Files\lpd\8\pppa.bat');
DeleteFile('C:\Program Files\lpd\8\11.vbs');
DeleteFile('C:\Program Files\lpd\8\71.vbs');
DeleteFile('C:\Program Files\lpd\8\omg.txt');
DeleteFile('C:\Program Files\111234\09091\12wgr5yhh.vbs');
DeleteFile('C:\Program Files\111234\09091\45h56h56h.vbs');
DeleteFile('C:\Program Files\111234\09091\ad3g3gf.bat');
DeleteFile('C:\Program Files\111234\09091\so1.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте новый лог MBAM
-
-
Junior Member
- Вес репутации
- 42
-
Удалите в MBAM всё кроме
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
- Прикрепите отчет к своему следующему сообщению.
Повторите сканирования MBAM и приложите новый лог.
Последний раз редактировалось thyrex; 01.01.2013 в 11:03.
-
-
Junior Member
- Вес репутации
- 42
-
Удалите в MBAM:
Код:
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 42
Сообщение от
Techno
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
Это заходит в Интернет и?
-
Сообщение от
olezya
Это заходит в Интернет и?
Скачивайте обновления и устанавливайте.
-
-
Junior Member
- Вес репутации
- 42
влияют ли они на нелецензионую винду?
-
Возможно потребуется повторная активация...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\alluse~1\\locals~1\\temp\\msaaybve.s cr - Trojan-Downloader.Win32.Andromeda.fsd
- c:\\program files\\111234\\09091\\ad3g3gf.bat - Trojan.VBS.Qhost.al
-