Qhost

Printable View

26.10.2009, 12:46
new

Qhost

Помогите пожалуйста, после проверки компьютера NOD32, вирусов не обнаруживает, после перезагрузки комьютера стало появьляться сообщение NOD32 что C:\Windows\system32\drivers\etc\hosts заражен Win32\QHost троян.
26.10.2009, 12:48
DefesT

Здравствуйте. Прочитайте и выполните [URL="http://virusinfo.info/pravila.html"]правила[/URL]
26.10.2009, 19:30
thyrex

Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\WINDOWS\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
27.10.2009, 10:34
new

Прислать запрошенный карантин - выполнил.
Вот новые логи.
27.10.2009, 11:32
light59

Пришлите файл [B]pqrs.tmo[/B] согласно приложению 2 правил
27.10.2009, 12:53
new

Отправил файл pqrs.tmo
27.10.2009, 17:13
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\WINDOWS\system32\pqrs.tmo');
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip
28.10.2009, 10:29
new

Вот новый лог virusinfo_syscheck.zip
28.10.2009, 22:28
thyrex

Откуда Вы снова бяку подцепили?

Выполните скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

[URL="http://virusinfo.info/showthread.php?t=10025"]Займитесь уборкой[/URL]

Сделайте новый лог virusinfo_syscheck.zip
29.10.2009, 11:21
new

Откуда Вы снова бяку подцепили?
Не знаю, возможно из сети, у нас тут переодически появляеться сообщение конфликт ip-адресов в сети, но не один антивир не чего не нашол(
29.10.2009, 16:07
thyrex

В логах ничего плохого не увидел

[QUOTE='new;495982']у нас тут переодически появляеться сообщение конфликт ip-адресов[/QUOTE]Это вряд ли связано с вирусами. IP-адреса машин в сети установлены при настройке или выделяются динамически?
29.10.2009, 16:49
new

IP-адреса машин в сети установлены при настройке, проблемы начались после того как попал в сеть Сonficker и после был вылечен. Может что то повредилось во время лечения.

Спасибо всем огромное. Сообщение об изменении файла hosts перестало появляться)
29.10.2009, 18:53
thyrex

Вариант 1. На каких-то компьютерах одинаковый IP-адрес оказался.
Вариант 2. Машина с определенным IP-адресом не в сети (выключена). На другой машине этот адрес все-таки динамический. Как только ранее выключенный компьютер появился в сети - вот Вам и конфликт
30.10.2009, 11:23
new

Сервер всегда включен и работает без сбоев.
Одинаковых IP-адресов нет. 2 раза все компьютеры обходили везде разные ip

Но в журналах все время( Что то вроде этого:

Тип события: Предупреждение
Источник события: Dhcp
Категория события: Отсутствует
Код события: 1005
Дата: 28.10.2009
Время: 9:53:55
Пользователь: Н/Д
Компьютер: DINA
Описание:
Компьютер определил, что IP-адрес 192.168.0.42 для сетевого адаптера с сетевым адресом 001FC67D6B3B уже используется в этой сети. Компьютер автоматически попытается получить другой адрес.

Откуда могут браться одинаковые ip не понятно.
Спасает смена ip-адреса.
31.10.2009, 11:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\ntfs_ext7.exe - [B]Trojan-Spy.Win32.Shiz.w[/B] ( DrWEB: Trojan.Inject.6510, BitDefender: Trojan.Generic.2620339, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\pqrs.tmo - [B]Backdoor.Win32.Bredavi.apo[/B] ( DrWEB: Trojan.Mylbot.4, BitDefender: Trojan.Generic.2616845, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]