Win32/AutoRun.Qhost.A

Printable View

09.02.2009, 18:07
Ветеран рунета

Win32/AutoRun.Qhost.A

Появился вирус, который NOD32 определяет как Win32/AutoRun.Qhost.A, он с завидным постоянством пытается подключиться к интернету и что-то скачать. Нод его убивает, но он опять появляется. AVZ не реагирует.

+компьютер при загрузке выдаёт картинку рабочего стола, курсор мышки и думает минуты 2, после чего вылетает окошко, в котором пишется про личные настройки и что-то с RECYCLER и длинным названием с цифрами. (подобное было ещё до Qhost'a)

Логи прилагаю
.
09.02.2009, 18:34
rubin

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
QuarantineFile('mswshl.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('eaxhmuuwsrl');
QuarantineFile('C:\WINDOWS\system32\drivers\ulwvt.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ulwvt.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('digeste.dll');
DeleteFile('mswshl.dll');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=39341[/url]
10.02.2009, 10:13
Ветеран рунета

Карантин залил, правда часть файлов оттуда удалил НОД32, узнав в нём Win32/AutoRun.Agent.IG
Вирус вроде не выскакивает, но при загрузке комп всё равно думает, отображая курсор и рабочий стол.
10.02.2009, 11:05
Rene-gad

Логи повторите, плиз.
10.02.2009, 14:07
Ветеран рунета

Логи
10.02.2009, 15:17
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O20 - Winlogon Notify: reset6 - C:\WINDOWS\[/CODE]

В логах чисто, установите SP3+all updates...
10.02.2009, 15:40
Ветеран рунета

Спасибо большое:)
11.02.2009, 15:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]