Показано с 1 по 12 из 12.

Вирус переписывает файл hosts [Trojan.Win32.Qhost.ahih ] (заявка № 145739)

  1. #1
    Junior Member Репутация
    Регистрация
    16.09.2013
    Сообщений
    27
    Вес репутации
    17

    Вирус переписывает файл hosts [Trojan.Win32.Qhost.ahih ]

    прописывает в файл hosts по адресу C:\WINDOWS\system32\drivers\etc какой то лог - после которого браузер не дает зайти к примеру на сайт vk.com - а выдает псевдостраницу входа с которой пытается украсть пароль и номер телефона, так понимаю для взлома и считывания денег с мобильника
    Майкрософтовский антивирус, помогает но ненадолго - через какое то время появляется снова
    после сканирования AVPTool нашел и вроде бы вылечил, НО после сканирования вирус детектором - ничего не поменялось - то есть анализ карантина показал все те же опасные файлы
    Как было: http://virusinfo.info/virusdetector/...B62A85E08AE11E
    Как стало: http://virusinfo.info/virusdetector/...622F25B244DDEE
    Заранее буду благодарен за оказанную помощь.
    Спасибо за внимание
    Вложения Вложения
    Последний раз редактировалось eugene_v; 16.09.2013 в 12:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) eugene_v, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\DOCUME~1\Eugene\LOCALS~1\Temp\681843','');
     QuarantineFile('C:\WINDOWS\system32\windebug32.exe','');
     DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
     DeleteFile('C:\DOCUME~1\Eugene\LOCALS~1\Temp\681843','32');
     DeleteFile('C:\WINDOWS\system32\windebug32.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
     ExecuteRepair(13);    
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\WINDOWS\system32\windebug32.exe
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
    O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.117,85.255.112.121
    Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Сделайте лог GMER (http://virusinfo.info/showthread.php?t=40118)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    16.09.2013
    Сообщений
    27
    Вес репутации
    17
    Буквально только что вирус проявил себя снова, а значит неудален
    по теме: все выполнил - выкладываю файлы
    карантин так же залил впервую очередь, но где он и как его посмотреть я не знаю/непонимаю
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ExecuteRepair(13);    
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте новые логи AVZ.

    Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)

    Лог GMER получился неполным. Попробуйте подготовить лог GMER еще раз.

    - - - Добавлено - - -

    Перед сбором лога GMER отключите/выгрузите все эмуляторы дисков, а также отключите антивирусное ПО.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    16.09.2013
    Сообщений
    27
    Вес репутации
    17
    Сделал все предписанные действия, и лог GMER - готов
    Вложения Вложения
    Последний раз редактировалось eugene_v; 17.09.2013 в 15:07.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Перед запуском bat файла cleanup.bat отключите антивирусное ПО, а также отключите/выгрузите эмуляторы дисков.

    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится x16kx891.exe случайное имя утилиты (gmer)
    Код:
    x16kx891.exe -del service gaopdxserv.sys
    x16kx891.exe -del file "C:\WINDOWS\system32\drivers\gaopdxthwhomuwqpmexwntyterespcwcpaldjn.sys"
    x16kx891.exe -del file "C:\WINDOWS\system32\gaopdxodkhbwimducvwxnxubvbyayfchfkawuc.dll"
    x16kx891.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys"
    x16kx891.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys"
    x16kx891.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys"
    x16kx891.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys"
    x16kx891.exe -reboot
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!

    Сделайте новый лог gmer.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    + Запакуйте этот C:\WINDOWS\imsins.BAK файл в zip архив с паролем virus и пришлите его согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    16.09.2013
    Сообщений
    27
    Вес репутации
    17
    выполнены все процедуры
    вирус пока себя не проявляет никак, но к примеру брандмауэр соседнего компа (по локалке) блокирует доступ в интернет для этого
    MD5 37f641e4388b74f9184e1ed586032c57 - карантин
    файлы прилагаю
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Плохого не увидел.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Рекомендуется сменить пароли на веб ресурсы.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    16.09.2013
    Сообщений
    27
    Вес репутации
    17
    рекомендуемые обновления выполнил, за исключением acrobat, так как непонятно, нужно обновлять AA professional (что на самом деле невозможно), либо AA reader?
    В остальном все вроде бы хорошо, За что Вам огромное спасибо!

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Цитата Сообщение от eugene_v Посмотреть сообщение
    рекомендуемые обновления выполнил, за исключением acrobat, так как непонятно, нужно обновлять AA professional (что на самом деле невозможно), либо AA reader?
    В остальном все вроде бы хорошо, За что Вам огромное спасибо!
    Наверное имелся в виду Adobe Reader.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  17. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\eugene\\locals~1\\temp\\681843 - Trojan.Win32.Qhost.ahih


  • Уважаемый(ая) eugene_v, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 09.04.2013, 12:00
    2. Вирус покалечил файл Hosts и надругался над Win XP
      От Интерн в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.11.2012, 19:06
    3. вирус модифицирует файл hosts
      От didmoros в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.07.2010, 19:32
    4. Вирус поменял файл hosts
      От iceb0y в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.06.2010, 03:36
    5. Неизвестный вирус портит файл hosts
      От Beliz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.03.2009, 21:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01258 seconds with 17 queries