[решено] что за зверь qwdelzi.dll - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] что за зверь qwdelzi.dll (http://forum.oszone.net/showthread.php?t=232422)

что за зверь qwdelzi.dll

всем привет!
после того как сынуля пытался установить скачанную с инета игрушку комп стал вести себя подозрительно.
в частности, перестал грузиться Гугл Хром, установка его с загрузчика стала невозможны, переустановка Хрома с оффлайн инсталятора к решению проблемы загрузки не привела, стал при запуске ХР автоматом грузиться ИЕ с страницей поиска.
посоветовали попользоваться ХакДжекИтом - я поубивал все процессы, в которых ссылка шла на ИЕ в автозапуске.
но после перезагрузки ИЕ все равно стартовал автоматом - теперь правда со страницей поиска MSN.

знакомый програмист посмотрел лог-файл и указал как на подозрительное - на это приложения qwdelzi.dll

"O20 - AppInit_DLLs: D:\WINDOWS\system32\qwdelzi.dll"

я погуглил - такого в Инете пока нет ;-)
вот и вопрос - может кто знает что это за библиотека такая? удалять ее к какой то там бабушке??

Здравствуйте!Выложите логи в соответствии с этими инструкциями.

лог-файл

пока могу выложить только вот этот лог.
остальное, если нужно - только вечером, когда вернусь домой.

Цитата:

Цитата sma111

лог-файл
пока могу выложить только вот этот лог. »

ну и где он? Используйте вложения. Быстрый ответ - Прикрепить файл и выбираете нужный файл.

а я то мудрю - оказывается все легко и просто, спасибо за науку ;-)

sma111, делайте полный лог RSIT. А не только HJT. И AVZ не забудьте.

а всеж не так просто - не прикрепился файл то.
я справа в поле Вложить файлы его вижу, а в тексте письма нет.
что делаю не так?

это смогу вечером. а пока разобраться бы как же прикреплять. я в своих постах не вижу прикрепленного файла - или это нормально, увидят другие?

Цитата:

Цитата sma111

а пока разобраться бы как же прикреплять. я в своих постах не вижу прикрепленного файла - или это нормально, увидят другие? »

Всё нормально, прикрепленный файл я вижу :)

Цитата:

Цитата sma111

это смогу вечером. »

Ждём ответа.

уточню пока : в инструкции
"2. Выполните диагностику утилитой AVZ

Перед выполнением следующих пунктов диагностики: закройте(выгрузите) все запущенные программы, включая антивирусное программное обеспечение и firewall, оставьте запущенным только Internet Explorer."

а как выгружать? просто позакрывать все программы?? или нужно через диспетчер задач процессы прекращать? если последнее - как не закрыть какие то нужные программы, какие процессы надо оставить жить?

Цитата:

Цитата sma111

а как выгружать? просто позакрывать все программы?? »

Закрыть программы и на время отключить антивирус.

Цитата:

Цитата sma111

а как выгружать? просто позакрывать все программы?? или нужно через диспетчер задач процессы прекращать? если последнее - как не закрыть какие то нужные программы, какие процессы надо оставить жить? »

можно просто закрыть все программы включая те которые открыты у вас в трее.

добрый вечер ;-)
вот что получилось от проверки и создания лог-файлов:

кста, я второй скрипт AVZ выполнял с отключенным инетом - это как то влияет на результат?

вот файл от второй проверки с включенным инетом

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('D:\WINDOWS\system32\qwdelzi.dll','');

 QuarantineFile('L:\autorun.inf','');

 QuarantineFile('D:\WINDOWS\system32\4F.tmp','');

 DeleteFile('D:\WINDOWS\system32\4F.tmp');

 DeleteFile('D:\WINDOWS\system32\qwdelzi.dll');

 DeleteFile('L:\autorun.inf');

 DeleteFileMask('D:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);

 DeleteDirectory('D:\Documents and Settings\Admin\Application Data\MicroST');

 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');

 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:



O20 - AppInit_DLLs: D:\WINDOWS\system32\qwdelzi.dll

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

хорошо, сделаю вечером дома.
только Хайджаком я уже фиксил эту френь (qwdelzi.dll)
после перезагрузки появляется опять.

Цитата:

Цитата sma111

только Хайджаком я уже фиксил эту френь (qwdelzi.dll)
после перезагрузки появляется опять. »

Нужно сначала вирус удалить, а потом фиксить. Выполняйте рекомендации.

решение нашлось другим путем.
запустил Куреит от Дра Веба- он нашел два трояна, в том числе и вот этот (который есть во всех логах!)
O4 - Startup: KwAUf3v4MAY.exe

удалил их.
потом я (на всякий случай) сделал полную проверку МАБМ всех логдисков - нашлось еще 24 опасных обьекта. удалил их.
перезагрузил комп - все норм, Хайджек уже не находит ни этой библиотеки, ни вируса.
и Хром то заработал ;-)
в общем всем ОГРОМНОЕ СПАСИБО!