Объект: С:\\Windows\system32\drivers\etc\hosts Угроза: Win32/Qhost троянская программа

[goldencore]

ESET Smart Security с завидной периодичностью выдает уведомление:

Объект: С:\\Windows\system32\drivers\etc\hosts
Угроза: Win32/Qhost троянская программа
1352558419-clip-15kb.jpg

С вероятностью 99% вирус/троян связан с активностью в социальных сетях, т.к. накануне был заблокирован вход на сайт vk.com:
9793d43369d8.jpg

Так же были замечены автопереходы на сайт clubrelaxxxx.com

Избавился чисткой файла hosts (C:\WINDOWS\system32\drivers\etc\hosts) - подменные адреса сайтов были скрыты в самом конце документа, не сразу заметил это, только после долгих танцев с бубном догадался прокрутить документ до конца =)

На данный момент вход на vk.com свободный, но как по волшебству т.е. автоматом в список моих групп периодически добавляются такие группы как "одежда", "стрижка собак", свадебный фотограф" и прочее...
Ясно, что дело не чистое

[Info_bot]

Уважаемый(ая) goldencore, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

- Сделайте логи RSIT.
- Сделайте лог полного сканирования МВАМ.

[goldencore]

mbam-log-2012-11-10 (22-03-00).txt
info.txt
log.txt

Готово!

[thyrex]

C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job

содержимое этих файлов просмотрите в Блокноте и процитируйте в своем сообщении

[goldencore]

C:\Windows\tasks\At1.job:



4хы”КцyJ’”`/Ћ0оЮF v
<
s   а!Ь
  + Й  c m d . e x e _ / c c o p y C : \ U s e r s \ M U S I C \ A p p D a t a \ L o c a l \ T e m p \ 5 9 0 1 5 1 7 F d O h C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d . 
0 Ь   +

ddLlH^и
Џ‚Ъзфэ*м$ЖоП©З%УYМ
oСµэЉЏrђ;$:уF*щф<Tлує»7ж М“ЎопK…оb

C:\Windows\tasks\At2.job:



†.Њ+K4NЊК¬DµIНвF x
<
s   а!Ь 

 m  c m d . e x e ` / c c o p y C : \ U s e r s \ M U S I C \ A p p D a t a \ L o c a l \ T e m p \ 1 1 3 8 8 3 6 9 F d O h C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d . 
0 Ь

 ђWhю

5жRт€
J—Р®МЋоj2яTK¤'Іњ«*ч%щАНо©’[–зјТFфT$AIDGbO-sТ„з‘=кпъ‚—№VP

[regist]

Выполните скрипт в AVZ

Код:

begin
 DeleteFile('C:\Windows\Tasks\At1.job');
 DeleteFile('C:\Windows\Tasks\At2.job');
ExecuteWizard('SCU',2,3,true);
ExecuteSysClean;
RebootWindows(false);
end.

после перезагрузки повторите логи RSIT

что с проблемой ?

[goldencore]

Повторные логи RSIT:
info2.txt
log2.txt

С проблемой:
1. ESET Smart Security 5 больше не ругается.
2. Группы vk.com перестали добавляться автоматически.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера