Показано с 1 по 13 из 13.

BV: QHhost-S [Trj] в файле Hosts (заявка № 152342)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    12
    Вес репутации
    25

    Thumbs up BV: QHhost-S [Trj] в файле Hosts

    Доброго времени суток!
    Avast IS ver. 2014.9.0.2011 (с последними базами и обновой - комп почти всегда онлайн)
    Win 7 x64
    В первый раз при сканировании (режим сканирования при загрузке) обнаружился - удалил.
    Во второй раз сканировал уже именно папку "etc" (обычный режим загрузки операционки) - опять обнаружился - удалил.
    В третий раз сканировал из-под безопасного режима (скачал CureIT) - просканировал - обнаружил, вылечил (есть лог).
    Загружаюсь в обычном режиме. Сканирую Avast'ом папку "etc" и в юбилейный четвертый раз натыкаюсь на вирус - забиваю.
    Давно установил LoviVkontakte. Где-то читал, что а/вирусы на нее срабатывают (или прога сама как вирус работает).
    Раз в месяц очищаюсь AusLogics'ом и CCLeaner'ом
    В последнее время (ок. недели-двух) Mozilla firefox (ver. 25.0.1) на vk.com при переходе в раздел "поиск аудиозаписей" страшно висит (по 2-5 мин). Вчера Firefox отказывался с первой попытки открывать половину страниц (со второй-третей попытки, , открывает) и Download master не загружал ни одного файла (после перезапуска догружал). Выключал все экраны Avast'а - брауз страницы загружает сразу, DM тоже работает норм. В итоге переустановил Avast - пока брауз грузит нормально.
    Осталась только одна проблема - вирус.

    Проблема почти тривиальная (вижу помощь уже оказывалась кому-то с такой проблемой). Надеюсь, и лечение такое же.

    P.S. Не сканировал второй диск (у меня диск порезан на два раздела), так как там я храню установочные файлы прог, а половина из них с кряками (соответс-но, будут обнаруживаться как вирусы).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) DAN8887, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     ExecuteRepair(13);
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - Сделайте лог полного сканирования МВАМ.

  5. #4
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    12
    Вес репутации
    25
    Ок! Все сделаю, но только afk до вечера.

    - - - Добавлено - - -

    Вот я и вернулся!
    Для справки (к BMAB):
    С:\ и D:\ - жесткий ноута (разрезан)
    F:\ - флешка
    X:\ и Z:\ - внешний жеский (разрезан)

    - - - Добавлено - - -

    В половине файлов в отчете BMAB узнал те самые кейгены и др. кряки. Жалко, если дело в них.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Удалите в MBAM:
    Код:
    HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
    
    HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: {3759DDEB-95C6-11E1-B790-9CB70D6F6E50} -> Действие не было предпринято.
    HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: {3759DDEB-95C6-11E1-B790-9CB70D6F6E50} -> Действие не было предпринято.
    
    C:\Program Files (x86)\SweetIM\Toolbars (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
    
    C:\Program Files (x86)\SweetIM\Messenger\mgAdaptersProxy.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mgcommon.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mgcommunication.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mgconfig.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mghooking.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mgsimcommon.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mgUpdateSupport.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\mgxml_wrapper.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Windows\Installer\65be4a.msi (PUP.Optional.SweetIM) -> Действие не было предпринято.
    C:\Program Files (x86)\SweetIM - удалите папку.


  7. #6
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    12
    Вес репутации
    25
    эмм... выполнил.

    Просканил Avast'ом папку etc.

    Опять обнаружил там ентот вирус. Да и в двойной порции!!
    Откуда-то появился там файл 2013-12-28_20-00_hosts.bak с содержимым:

    # This HOSTS file cured by Dr.Web Anti-rootkit API
    127.0.0.1 vkontakte.ru
    127.0.0.1 www.vkontakte.ru
    127.0.0.1 vk.com
    127.0.0.1 www.vk.com

    В самом hosts была та же песня. Я только что заменил это на то, что должно быть. Восстановление содержимого файла hosts по умолчанию
    Код HTML:
    http://support.microsoft.com/kb/972034
    Avast ругается и на hosts, и на 2013-12-28_20-00_hosts.bak

    Any proposals?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от DAN8887 Посмотреть сообщение
    папку etc.
    Запакуйте в архив и приложите к след. сообщению.


  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    12
    Вес репутации
    25
    эээ... Второй раз просканил... вирус обнаружен только в hosts. Другой файл как бы чист(хз)
    Вложения Вложения
    • Тип файла: rar etc.rar (7.4 Кб, 1 просмотров)

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от DAN8887 Посмотреть сообщение
    Откуда-то появился там файл 2013-12-28_20-00_hosts.bak с содержимым:
    это после скрипта AVZ - это нормально. Удалите его вручную.

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    заодно проверьте после того как вы удалили 2013-12-28_20-00_hosts.bak avast ругаться перестал?

  12. Это понравилось:


  13. #10
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    12
    Вес репутации
    25
    вот.
    Вижу тут сохранились sweet, ask и какая-то лабуда.
    С вирусом проблем УЖЕ нет. Вообще-то я отправил большой пост, ток чет он еще не появился. В нем все разъясняется.
    А лог AdwCleaner'а заинтересовал... Удалил бы все. Но боюсь и профиль свой удалить - не хочу рисковать.

    Всё же напишите, что ту можно удалить безболезненно.

    - - - Добавлено - - -
    А вот и пост))

    Ребята, простите, что все это время пудрил Вам мОзги. Каюс, виноват.
    Цитата Сообщение от DAN8887 Посмотреть сообщение
    Давно установил LoviVkontakte. Где-то читал, что а/вирусы на нее срабатывают (или прога сама как вирус работает).
    Цитата Сообщение от Techno
    http://virusinfo.info/showthread.php?t=119362
    Вот эти программы попробуйте удалить:
    Код:

    C:\PROGRA~3\VKSaver
    D:\LoviVkontakte
    Немного контекста: как-то месяц назад ставил другу vksaver (или vkmusic - уже не помню). Так вот у него Каспер начал ругаться благим trojan win32.hosts2.gen. И лечит/удаляет, ребутит комп и ОПЯТЬ орет на hosts. Я, значит, гуглю и натыкаюсь на статейку в духе Techno (см. выше). Сношу все vk-шное нафик - и нормально!

    СЕЙЧАС я сделал то же самое - удалил у себя lovivkontakte и, о чудо! Avast на папку etc больше не ругается! Эта гадина (lovivk) прописывает в реестре
    Код:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
    соот-но в hosts появляется эта запись
    Цитата Сообщение от DAN8887
    127.0.0.1 vkontakte.ru
    127.0.0.1 www.vkontakte.ru
    127.0.0.1 vk.com
    127.0.0.1 www.vk.com
    которая ну никак не хочет удаляться (т.е. удаляется, но потом после ребута снова появляется)
    http://www.kompasnet.org/showthread.php?t=3290 Та же проблема. Как только ни пытаются решить...

    Я - *****(вставьте подходящее слово) - жалею только о том, что не попробовал этот способ раньше!
    А на счет закачки музыки с контактов волноваться не приходится - есть Download Master - качает оттуда и музыку, и видео (надо только включить плагины и расширения в браузере).

    Ну, ребята!.. Спасибо за моральную помощь! И еще раз извините за самоочевидность решения.

    P.S. Если только дело было все-таки в lovivkontakte

    Думаю, тему можно закрывать. И впредь советовать юзверям УДАЛЯТЬ эти проги, прежде чем просить помощи.
    Вложения Вложения

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от DAN8887 Посмотреть сообщение
    А лог AdwCleaner'а заинтересовал... Удалил бы все.
    если
    Folder Found C:\Users\DAN\AppData\Roaming\Mail.Ru
    не нужно, то всё и удаляйте

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    - - - Добавлено - - -

    MBAM деинсталируйте.

  15. #12
    Junior Member Репутация
    Регистрация
    21.05.2011
    Сообщений
    12
    Вес репутации
    25
    вот.
    Вложения Вложения
    Последний раз редактировалось DAN8887; 30.12.2013 в 08:22.

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  • Уважаемый(ая) DAN8887, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Кто-то меняет записи в файле hosts
      От big_nab в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.02.2013, 16:36
    2. Вирус в файле hosts
      От Amato в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.01.2013, 17:00
    3. Не сохранить изменения в файле hosts
      От Katssay в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2010, 20:09
    4. Ответов: 6
      Последнее сообщение: 28.04.2010, 09:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01069 seconds with 17 queries