Trojan.Qhost.69

Printable View

23.08.2009, 19:47
zz_ee

Вложений: 3

Trojan.Qhost.69

Второй день бьюсь .посмотрите плз
23.08.2009, 19:49
zz_ee

Trojan.Qhost.69

Два дня назад по необходимости искал кисти для фотошопа и на некоторых сайтах отключал аутпост для просмотра картинок,видимо где-то в это время и подхватил сию заразу.
Что это именно Trojan.Qhost.69 мне сказал Dr.Web полсе того как я удалил свой NOD32.Нод не видит его((( Кароче,после того как я захожу в инет у меня вылазит сообщение от аутпоста с запрос на создание процесса (неизвестный): c:\windows.1\system32\[B]71.exe[/B] ,Dr.Web показывал сообщение ,что обнаружен вирус с одним из таких сообщений( C:\WINDOWS.1\system32\18.exe - инфицирован Trojan.Qhost.69
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9BVR6NO\expallnew[1].exe - инфицирован Trojan.Qhost.69 ) ну или они чередовались.

p.s. Щас увидел тему точь в точь как у меня проблема [URL]http://virusinfo.info/showthread.php?t=52767[/URL]
23.08.2009, 20:03
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Удалите все зашитные программы, кроме одного антивируса
- Удалите Crawler Toolbar
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('sdpiosys');
QuarantineFile('C:\WINDOWS.1\system32\drivers\sdpiosys.sys','');
DeleteFile('C:\WINDOWS.1\system32\drivers\sdpiosys.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('sdpiosys');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- [URL="http://virusinfo.info/showpost.php?p=454125&postcount=2"]Создайте[/URL] новый файл [B]hosts[/B].
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
23.08.2009, 21:44
zz_ee

Вложений: 3

сделано.проверьте

Сейчас еще НОД вылавливает Win32/Inject и Win32/Ijector.SM при коннекте в инет . Видимо я когда выполнял действия, описанные в пп. 2 Диагностика,тогда и наматал((
+ еще WSHOST32.EXE рвется в сеть

[size="1"][color="#666686"][B][I]Добавлено через 1 час 37 минут[/I][/B][/color][/size]

Если я что-то не так сделал,то скажите.. я переделаю и вышлю заново.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 12 минут[/I][/B][/color][/size]

а про меня забыли :(
подскажите пожалста,что мне делать?
24.08.2009, 06:24
pig

Вы уже выспались? Я вам завидую... А в Германии ещё не проснулись. Подождите.
24.08.2009, 06:32
zz_ee

[QUOTE=pig;454767]Вы уже выспались? Я вам завидую... А в Германии ещё не проснулись. Подождите.[/QUOTE]
эх,если-бы...:(
Извиняюсь за излишнюю настойчивость,конечно подожду :yes:
24.08.2009, 10:53
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows.1\msdrive32.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe');
QuarantineFile('C:\WINDOWS.1\msdrive32.exe','');
DeleteFile('C:\WINDOWS.1\msdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
24.08.2009, 11:45
zz_ee

Вложений: 4

Карантин закачан.
Файл сохранён как090824_114213_virus_4a924455058a8.zipРазмер файла181641MD5ec1afcac36992cc7475add8cd0273900
И остальные файлы как Вы просили.
24.08.2009, 12:36
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows.1\system32\wshost32.exe');
QuarantineFile('C:\WINDOWS.1\system32\wshost32.exe','');
DeleteFile('C:\WINDOWS.1\system32\wshost32.exe');
DeleteFile('c:\windows.1\system32\cssdll32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
24.08.2009, 13:23
zz_ee

Вложений: 3

Карантин загрузил.
Файл сохранён как090824_132050_virus_4a925b72ea629.zip
Размер файла231522
MD50929759e4888a9b293586f1f1dbb7ae7

И остальные файлы ниже..
24.08.2009, 13:39
Rene-gad

[CODE]C:\Program Files\SUPERAntiSpyware
C:\Program Files\Lavasoft\Ad-Aware[/CODE]
Удалите, оно ни к чему :)
Поищите в АВЗ/Сервис/Поиск по реестру
[CODE]c:\windows.1\system32\cssdll32.dll[/CODE]и удалите эту запись - это остатки COMODO.

Больше ничего враждебного не увидел.
24.08.2009, 14:41
zz_ee

[QUOTE=Rene-gad;454911]
[CODE]c:\windows.1\system32\cssdll32.dll[/CODE]и удалите эту запись - это остатки COMODO.[/QUOTE]
Со следами COMODO еще один ключ находится ,что с ним делать,он вроде не относится к COMODO?
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = c:\progra~1\agnitum\outpos~1\wl_hook.dll c:\windows.1\system32\cssdll32.dll[/CODE]
24.08.2009, 15:36
Rene-gad

[QUOTE=zz_ee;454950]Со следами COMODO еще один ключ находится[/QUOTE]Он относится к Аутпосту. Если Аутпост стоит - удалите только COMODO-запись.
24.08.2009, 15:53
zz_ee

Все понял.
Сделал как писали.Ничего подозрительного в работе компа не замечено до сего момента,надеюсь,что так будет и дальше.
Спасибо огромное за помощь!!! :beer:

P.S. Если есть какие-то рекомендации,то все непременно прислушаюсь.
25.08.2009, 15:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe - [B]Trojan-Dropper.Win32.Agent.bben[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Dropper.TEC, NOD32: Win32/Peerfrag.AU worm, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows.1\msdrive32.exe - [B]Trojan-Dropper.Win32.Small.dta[/B] ( DrWEB: Trojan.Qhost.69, BitDefender: IRC-Worm.Generic.6253, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows.1\system32\wshost32.exe - [B]Trojan-Downloader.Win32.Agent.cner[/B] ( DrWEB: Trojan.Qhost.69, BitDefender: Application.Generic.198223, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]