-
Junior Member
- Вес репутации
- 60
Win32/Qhost
Ну говорил же я не надолго отлучился . Сегодня флэшку поставили и с неё всё началось. НОД32 сразу же матукнулся но в настройках стояло переместить в карантин. Сейчас все исправил поставил что бы удалял, но видать уже поздно. Вэбом проверяю все чисто. НОД32 нашел гадость и удалил. Но при перезагрузке опять появился.AVZ запустил снял логи. Как только подключил сеть опять эта зараза
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
24.04.2008 20:38:43 AMON файл C:\windows\system32\drivers\hosts Win32/Qhost троян удален MINHERC\Admin Событие во вновь созданном файле.
24.04.2008 20:38:42 AMON файл C:\Windows\System32\Drivers\Etc\hosts Win32/Qhost троян удален MINHERC\Admin Событие во вновь созданном файле.
24.04.2008 20:38:42 AMON файл C:\Windows\hosts Win32/Qhost троян удален MINHERC\Admin Событие во вновь созданном файле.
24.04.2008 20:38:39 IMON файл http://194.126.174.76/~ftpaccount/BHOST.exe вероятно модифицированный Win32/Statik приложение MINHERC\Admin
Посмотрите плиз что это ?
В HiJackThis посмотрел лог вроде подозрительного ничего не нашел
Последний раз редактировалось BMW; 25.04.2008 в 16:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 60
Сейчас нашел в корне диска С файл "winhost.exe" грохнул в ручную
-
Автозапуск с флешек отключил? Очень надежно помогает от таких болезней.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hotfldr.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин. Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Автозапуск с флешек отключил? Очень надежно помогает от таких болезней.
уже отключил Ща по всей конторе пойду все отключать и инет тоже
Добавлено через 57 секунд
Ну а так гадость осталась или нет ?
Последний раз редактировалось BMW; 24.04.2008 в 19:18.
Причина: Добавлено
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как 080424_103713_virus_4810a9294cb37.zip
Размер файла 1775080
MD5 b4c8582162709e775b7bb2bcdf9ff5e0
карантин выслал
тоже смотел логи и на эту гадость sys32.exe грешил , вот только скрипты писать не умею
-
Карантин аж три раза загрузил, с испуга что ли?
Офф: у нас есть курсы, где можно научиться скрипты писать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Карантин аж три раза загрузил, с испуга что ли?
Интересно загружал только один раз ! ну что там в карантине ?
Добавлено через 54 секунды
=PavelA;Офф: у нас есть курсы, где можно научиться скрипты писать.
А где не подскажите ?
Последний раз редактировалось BMW; 25.04.2008 в 08:19.
Причина: Добавлено
-
Worm.Win32.AutoRun.dmh - sys32.exe (по Касперскому, Доктор Веб похоже не знает) удален. Хотя надо посмотреть новые логи.
См. тему про курсы: http://virusinfo.info/showthread.php...ewpost&t=15090
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
ВОТ новые логи. НО помоему , а может ошибаюсь что то осталось !!! Типа в корзине сидит , хотя она чистая
Последний раз редактировалось BMW; 25.04.2008 в 16:25.
-
Junior Member
- Вес репутации
- 60
Ребята скажите у меня всё чисто ? А то сеть нужна для этого компа ! Печатать на плотере нужно а у нас уже 0:30 ?
Добавлено через 11 часов 25 минут
Ребята посмотрите последние логи плиз ! Сетка нужна на этом компе а включить не хочу жду вашего вердикта
Последний раз редактировалось BMW; 25.04.2008 в 09:55.
Причина: Добавлено
-
У тебя сидит в корзине для другого пользователя на компьютере, если их несколько.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Тот файл, что в корзине, попытайся поискать через AVZ.
Если не найдется, значит только ссылка в реестре осталась.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Ну думаю все чисто теперь
-
Junior Member
- Вес репутации
- 60
Логи забыл прикрепить на радостях
Последний раз редактировалось BMW; 04.05.2008 в 12:26.
-
Я ничего плохого в логах не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Ну спасиба вам огромное ! Ну не прощаемся