Показано с 1 по 19 из 19.

Вирус удаляет загруженные файлы, не дает запускать hijackthis и хром жалуется что у google.com истек сертификат безопасности [Trojan.Win32.Qhost.aagi ] (заявка № 147315)

  1. #1
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39

    Вирус удаляет загруженные файлы, не дает запускать hijackthis и хром жалуется что у google.com истек сертификат безопасности [Trojan.Win32.Qhost.aagi ]

    Всем привет!

    Собственно, в теме отразил все проблемы.

    Помимо того что браузер удаляет скачанные файлы, и хром жалуется что у гугла якобы истек срок сертификата безопасности, открывается только ие (64 разрядный). Utorrent не запускается как и обычный ие.

    Помимо этого почему то с компа исчезли программы - весь пакет adobe, ableton live и еще что-то помелочи

    Так же вирус регулярно сбрасывает назначенную прогу на расширение zip - т.е. приходится переустанавливать 7zip чтобы открыть любой простой архив.

    HIjackthis вываливается с ошибкой invalid picture (даже переименованный)

    Поэтому прикладываю к посту только логи AVZ

    Заранее спасибо за помощь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Sanchar, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Забыл сказать, из последних странностей
    недавно появилась mcaffe security scan plus (который я не устанавливал)
    он не запускается и не удаляется

    так же, девушка говорила что обновила flash player

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Sanchar\appdata\lsass.exe','');
     DeleteFile('C:\Users\Sanchar\appdata\lsass.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог TDSSkiller
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Выполнил все как вы написали

    TDSkiller ничего не нашел
    прикладываю новые логи и лог из tdskiller-a и приложил файл из карантина

    помогите плз, что еще можно сделать?
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Приложил комбофиксовый лог
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от thyrex Посмотреть сообщение
    Что с проблемой?
    Проблема не решена
    все теже симптомы остались

    и hijackthis не запускается с той же ошибкой, хром не открывает гугл, юторрент не работает и дальше по списку

    что еще можно попробовать?

    совсем не хочется сносить винду

  11. #10
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Делал полную проверку системы с помощью avz и с расширенными настройками
    он ничего не нашел кроме подозрений, они следующие:

    C:\Windows\System32\drivers\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
    C:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDA8BC2 1E621768 004D6E44 004D6E44 491520)
    C:\Windows\SysWOW64\drivers\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
    Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT
    Прямое чтение C:\Windows\WindowsUpdate.log
    C:\Windows\winsxs\amd64_microsoft-windows-audio-mmecore-other_31bf3856ad364e35_6.1.7600.16385_none_e8f2b9a b2a40e84d\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
    C:\Windows\winsxs\x86_microsoft-windows-audio-mmecore-other_31bf3856ad364e35_6.1.7600.16385_none_8cd41e2 771e37717\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)


    скачал утилиту с сайта доктора веба она ничего не нашла, утилита с сайта касперского не устанавливается (якобы из-за проблем с безопасностью)

    помимо этого avz пишет следующую вещь:
    Функция ntdll.dll:NtCreateSection (262) перехвачена, метод APICodeHijack.JmpTo[00093F63]
    >>> Код руткита в функции NtCreateSection нейтрализован


    но hijackthis все равно не запускается (даже переименнованый)

    пожалуйста помогите, что мне делать?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    MBAM не запускается пишет вот что:

    Run-time error '372':

    Failed to load control 'vbalGrid' from vbalsgrid6.ocx. Your version f vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application.


    Теперь ниодин браузер не работает (не отображает интренет якобы нет коннекта, хотя пинг идет). ТОлько из безопасного режима можно открывать веб в ие64

    УСтановил аваст но он не может запустить проверку жестких дисков выдает ошибку.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Попробуйте рекомендации отсюда, Step 1.
    Версия MBAM какая?
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Попробуйте рекомендации отсюда, Step 1.
    Версия MBAM какая?
    Ничего не помогает.
    MBAM последний.

    Неужели никаких вариантов нет вообще и придется сносить винду?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    13.10.2013
    Сообщений
    9
    Вес репутации
    39
    Спасибо!
    Сделал все как написанно в инструкции программа много на что пожаловалась, надеюсь это поможет!
    Жду с нетерпением следующиъ советов.

    Прикладываю в 7zip т.к. обычный зип очень большой получается 0 форум не дает его залить
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Попробуйте пролечиться с LiveCD http://virusinfo.info/showthread.php...l=1#post306441


  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    У Вас 3 антивируса в системе: avast!, Panda и Dr. Web. При этом странно, что вообще хоть что-то получается запустить. Оставьте только один антивирус и попробуйте сделать новые логи.
    WBR,
    Vadim

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\sanchar\\appdata\\lsass.exe - Trojan.Win32.Qhost.aagi ( DrWEB: Trojan.Hosts.4561, BitDefender: Rootkit.51764 )


  • Уважаемый(ая) Sanchar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Сертификат безопасности сайта не является доверенным! и Google
      От Сергей Геращенко в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.09.2013, 23:54
    2. Вирус не дает запускать программы
      От sergeant.coolagin в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.09.2011, 16:12
    3. Ответов: 9
      Последнее сообщение: 11.08.2011, 18:10
    4. Вирус не дает запустить AVZ и HiJackThis
      От ParoLicH в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 17.08.2010, 21:00
    5. Ответов: 16
      Последнее сообщение: 23.05.2010, 22:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01314 seconds with 20 queries