Показано с 1 по 8 из 8.

инфицированный комп. (заявка № 108635)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2011
    Сообщений
    46
    Вес репутации
    24

    Thumbs up инфицированный комп.

    Здравствуйте. Выкладываю логи диагностики. Переодически комп. виснет и приходиться в ручную чистить файл Host так как иногда не могу зайти на ряд сайтов. Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) arinaa, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.
    - отключитесь от сети

    В HiJackThis пофиксите:

    Код:
    O20 - AppInit_DLLs: winmm.dll
    В AVZ выполните скрипт:

    Код:
    procedure ScanKates(Name: String);
    var Str: String;
        Info: String;
    begin
     if RegKeyParamExists('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name)
      then
       begin
        Str:= RegKeyStrParamRead('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32', Name);
        Info:= 'Найден параметр ' + Name + ', связанный с ' + Str; 
        AddToLog(Info);
        if Pos(' ', Str)<>0 then Str:= Copy(Str, 1, Pos(' ', Str)-1);
        QuarantineFile(Str,'Kates');
        DeleteFile(Str);
        RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name);
       end;
    end;
    procedure KillKates;
    var i: integer;
    begin
     ScanKates('aux');
     for i := 0 to 99 do ScanKates('aux'+IntToStr(i));
     ScanKates('midi');
     for i := 0 to 99 do ScanKates('midi'+IntToStr(i));
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\conn.exe','');
     QuarantineFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak 2nAKBHPPHH','');
     QuarantineFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak','');
     DeleteService('mkdrv');
     QuarantineFile('C:\WINDOWS\vgtbs.sys','');
     DeleteFile('C:\WINDOWS\vgtbs.sys');
     DeleteFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak 2nAKBHPPHH');
     DeleteFile('C:\DOCUME~1\NARAYA~1.ITC\LOCALS~1\Temp\xolba.bak');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\conn.exe');
    ExecuteRepair(13);
    KillKates;
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите согласно правил (не хватает одного лога!)
    Paula rhei.
    Поддержать проект можно тут

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    04.09.2011
    Сообщений
    46
    Вес репутации
    24
    сделала
    Вложения Вложения

  7. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    В HiJackThis пофиксите:

    Код:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)

    Если у Вас установлен BitDefender, то C:\Program Files\DrWeb AV-Desk - это нужно деинсталлировать.
    В остальном - порядок. Только систему нужно обновить.
    Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
    Проблема решена?
    Пойман:
    C:\WINDOWS\vgtbs.sys - Rootkit.Win32.Qhost.er (Trojan.Siggen3.3211)
    Paula rhei.
    Поддержать проект можно тут

  8. Это понравилось:


  9. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Смените все пароли. У Вас побывал и вор паролей Kates
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. Это понравилось:


  11. #7
    Junior Member Репутация
    Регистрация
    04.09.2011
    Сообщений
    46
    Вес репутации
    24
    Спасибо. Ваши рекомендации сделала.
    Вроде все работает!
    Спасибо

  12. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\vgtbs.sys - Rootkit.Win32.Qhost.er ( DrWEB: Trojan.Hosts.5006, BitDefender: Trojan.Generic.KDV.337491, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) arinaa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. инфицированный файл snmptrap.exe
      От slawsom в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.04.2012, 22:42
    2. Ответов: 2
      Последнее сообщение: 15.01.2008, 17:44
    3. 1 инфицированный файл, не удалился
      От Лариса в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.11.2007, 15:30
    4. Ответов: 1
      Последнее сообщение: 26.10.2007, 11:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00847 seconds with 17 queries