Junior Member
Вес репутации
59
W32/Qhost и многое другое!!
Помогите плиз, сидел в инете вылетел синий экран смерти перезапустил камп. Нод заорал о вирусах W32/Qhost но удалить не может потом посыполось много новых окон с рекламой в аутпосте процесс loader.exe пытается пробиться, запустил AVZ перезагрузил камп он стал через 1 минуту перезагружаться типа нарушение DCOM, NOD при этом продолжает находить W32/Qhost после 6 перезагрузок автоматических система заработала с большими тормозами и интернет тоже, вообщем троян качает со свистом и вылетают окна с рекламой. Помогите плиз.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
BitAccelerator - удалите это адваре
Microsoft Most Valuable Professional in Consumer Security
BitAccelerator ,ConnectionServices-деинсталировать ...
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AgataSoft_Image_Button.exe','');
DelBHO('{CD58CE7E-102D-4CEE-A90D-CC91D1FF5B9B}');
DelBHO('{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
BC_DeleteSvc('Glo14');
QuarantineFile('C:\WINDOWS\System32\drivers\Glo14.sys','');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Urbh37');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\winlugan.exe','');
QuarantineFile('Urbh37.sys','');
QuarantineFile('C:\~INSTMP~\gismeteobar.dll','');
QuarantineFile('C:\WINDOWS\system32\marwin32.dll','');
QuarantineFile('C:\WINDOWS\Installer\{62427db6-1d99-4ac3-a5f3-7dc14a0f2118}\KernelSetup.dll','');
QuarantineFile('c:\windows\temp\loader.exe','');
DeleteFile('C:\WINDOWS\Installer\{62427db6-1d99-4ac3-a5f3-7dc14a0f2118}\KernelSetup.dll');
DeleteFile('C:\WINDOWS\system32\marwin32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Glo14.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\TEMP\loader.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O2 - BHO: Her - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - C:\WINDOWS\system32\marwin32.dll
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2
Последний раз редактировалось akoK; 08.03.2008 в 23:44 .
Причина: обогнали
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Приложение 3 выполнено, логи прикрепил. У AVZ остались еще подозрения...
Последний раз редактировалось DKG; 09.03.2008 в 13:08 .
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlugan.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Urbh37.sys','');
QuarantineFile('wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('wowfx.dll');
DelWinlogonNotifyByFileName('wowfx.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Urbh37.sys');
BC_DeleteSvc('1Google Online Search Service');
DeleteFile('C:\WINDOWS\system32\winlugan.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите крарантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
59
Карантин выслал,
А логи загрузить не получается пишет DKG, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
попробуйте через другой браузер ...
или воспользуйтесь файлообменником например slil.ru
Junior Member
Вес репутации
59
Вот логи получилось токо так
http://slil.ru/25560696 hijackthis.log пароль 11111
http://slil.ru/25560705 virusinfo_syscheck пароль 11111
http://slil.ru/25560708 virusinfo_syscure пароль 11111
в логах чисто, жалобы имеются?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\installer\\{62427db6-1d99-4ac3-a5f3-7dc14a0f2118}\\kernelsetup.dll - Trojan-Downloader.Win32.Small.iuq (DrWEB: Trojan.MulDrop.12057) c:\\windows\\system32\\drivers\\glo14.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.157) c:\\windows\\system32\\drivers\\urbh37.sys - Rootkit.Win32.Agent.aih (DrWEB: Trojan.Sentinel) c:\\windows\\system32\\marwin32.dll - Trojan-Downloader.Win32.Agent.jgc (DrWEB: Trojan.BhoSpy) c:\\windows\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.aw (DrWEB: Trojan.Inject.783)