Добрый день. Помогите справиться с бедой!!!! qttask.exe загружает процессор. К тому же никак не могу запустить стандартные скрипты и сделать логи (согласно правилам), поскольку AVZ виснет из за этой заразы. Что делать?
Добрый день. Помогите справиться с бедой!!!! qttask.exe загружает процессор. К тому же никак не могу запустить стандартные скрипты и сделать логи (согласно правилам), поскольку AVZ виснет из за этой заразы. Что делать?
переименовать avz.exe в game.pif
никакого эффекта. При запуске скрипта AVZ сразу зависает. Может быть можно ручками его придавить?
Кнопка "Пуск"-> "Выполнить"
набрать msconfig
нажать Enter
выбрать последнюю закладку, в списке найти строчку с упоминанием qttask и снять с нее галочку.
Нажать ОК и перезагрузить компьютер.
После перезагрузки появится окно с запросом на запуск msconfig, поставить галку "больше не запускать" и отменить запуск.
А quicktime советую удалить с компьютера, одним глюком станет меньше. Если уж приспичило фильмы в формате mov смотреть, вот это использовать можно : http://www.free-codecs.com/download/...lternative.htm
Попробуй сделать логи, не забыть отключить все файрволы, антивирусы и инет...
Последний раз редактировалось drongo; 07.01.2008 в 19:38.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо.AVZ минут 10 висел, и вот сейчас начал скрипт выполнять
УФ... Сделал логи - выкладываю.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
И потом повторите логи...
загрузил карантин. теперь снова запустить скрипты и отправить логи?
Да.
Вот новые логи. Спасибо за оперативные ответы
пофиксите ...
выполните скрипт...Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
пришлите карантин согласно приложения 3 правил....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\Arp1349.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Arp1349.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteSvc('Arp1349'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи...
профиксил. карантин отправил. Выкладываю новые логи...
C:\Program Files\TaoNotes\crack.exe - пришлите по правилам ...
отправил.
выполните скрипт ...
вот кто это был ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Program Files\TaoNotes\crack.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи ..Код:AhnLab-V3 2008.1.8.10 2008.01.07 - AntiVir 7.6.0.46 2008.01.07 - Authentium 4.93.8 2008.01.07 - Avast 4.7.1098.0 2008.01.07 - AVG 7.5.0.516 2008.01.07 - BitDefender 7.2 2008.01.07 - CAT-QuickHeal 9.00 2008.01.07 - ClamAV 0.91.2 2008.01.07 PUA.Packed.UPack-3 DrWeb 4.44.0.09170 2008.01.07 - eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5438 2008.01.07 - Ewido 4.0 2008.01.07 - FileAdvisor 1 2008.01.07 - Fortinet 3.14.0.0 2008.01.07 PossibleThreat!02901 F-Prot 4.4.2.54 2008.01.07 W32/Heuristic-162!Eldorado F-Secure 6.70.13030.0 2008.01.07 - Ikarus T3.1.1.15 2008.01.07 Trojan-Downloader.Win32.Pux.d Kaspersky 7.0.0.125 2008.01.07 - McAfee 5201 2008.01.07 New Malware.aj Microsoft 1.3109 2008.01.07 - NOD32v2 2772 2008.01.07 - Norman 5.80.02 2008.01.07 W32/Suspicious_U.gen Panda 9.0.0.4 2008.01.07 Suspicious file Prevx1 V2 2008.01.07 - Rising 20.26.02.00 2008.01.07 - Sophos 4.24.0 2008.01.07 Mal/Packer Sunbelt 2.2.907.0 2008.01.05 VIPRE.Suspicious Symantec 10 2008.01.07 - TheHacker 6.2.9.183 2008.01.07 - VBA32 3.12.2.5 2008.01.07 suspected of Backdoor.XiaoBird.25 (paranoid heuristics) VirusBuster 4.3.26:9 2008.01.07 Packed/Upack Webwasher-Gateway 6.6.2 2008.01.07 -
Благодарю за Ваше внимаение. Код который вы написали, к сожалению ни о чем мне не говорит. буду очень признателен если Вы в двух словах опишите от какой напасти Вы меня спасли. Выкладываю новые логи.
'"код" - был дня информации ...
в логах чисто ...
что из этого не используется .. ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
to V_Bond: Еще раз спасибо за помощь. Вашими стараниями удалось прибить этого паразита. Также хочу отметить Ваш профессиональный подход к решению проблем. Было очень приятно с Вами работать. Всего доброго. Спасибо.
P.S. Также хочу выразить слова благодарности всем остальным, кто принимал участие в этой "операции".
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\taonotes\\crack.exe - Backdoor.Win32.Hupigon.aolt
- c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.jp (DrWEB: Trojan.NtRootKit.422)
- c:\\windows\\temp\\startdrv.exe - Trojan.Win32.Pakes.bqb (DrWEB: BackDoor.Bulknet.94)
Уважаемый(ая) veryip, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.