Показано с 1 по 15 из 15.

Trojan.Qhost.69 (заявка № 52777)

  1. #1
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31

    Thumbs up Trojan.Qhost.69

    Второй день бьюсь .посмотрите плз
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31

    Trojan.Qhost.69

    Два дня назад по необходимости искал кисти для фотошопа и на некоторых сайтах отключал аутпост для просмотра картинок,видимо где-то в это время и подхватил сию заразу.
    Что это именно Trojan.Qhost.69 мне сказал Dr.Web полсе того как я удалил свой NOD32.Нод не видит его((( Кароче,после того как я захожу в инет у меня вылазит сообщение от аутпоста с запрос на создание процесса (неизвестный): c:\windows.1\system32\71.exe ,Dr.Web показывал сообщение ,что обнаружен вирус с одним из таких сообщений( C:\WINDOWS.1\system32\18.exe - инфицирован Trojan.Qhost.69
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W9BVR6NO\expallnew[1].exe - инфицирован Trojan.Qhost.69 ) ну или они чередовались.

    p.s. Щас увидел тему точь в точь как у меня проблема http://virusinfo.info/showthread.php?t=52767
    Последний раз редактировалось AndreyKa; 23.08.2009 в 20:15. Причина: убрал лишнее

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Удалите все зашитные программы, кроме одного антивируса
    - Удалите Crawler Toolbar
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('sdpiosys');
     QuarantineFile('C:\WINDOWS.1\system32\drivers\sdpiosys.sys','');
     DeleteFile('C:\WINDOWS.1\system32\drivers\sdpiosys.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('sdpiosys');
    ExecuteRepair(17);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Создайте новый файл hosts.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31
    сделано.проверьте

    Сейчас еще НОД вылавливает Win32/Inject и Win32/Ijector.SM при коннекте в инет . Видимо я когда выполнял действия, описанные в пп. 2 Диагностика,тогда и наматал((
    + еще WSHOST32.EXE рвется в сеть

    Добавлено через 1 час 37 минут

    Если я что-то не так сделал,то скажите.. я переделаю и вышлю заново.

    Добавлено через 6 часов 12 минут

    а про меня забыли
    подскажите пожалста,что мне делать?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.08.2009 в 09:45.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Вы уже выспались? Я вам завидую... А в Германии ещё не проснулись. Подождите.

  7. #6
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31
    Цитата Сообщение от pig Посмотреть сообщение
    Вы уже выспались? Я вам завидую... А в Германии ещё не проснулись. Подождите.
    эх,если-бы...
    Извиняюсь за излишнюю настойчивость,конечно подожду

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\windows.1\msdrive32.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe');
     QuarantineFile('C:\WINDOWS.1\msdrive32.exe','');
     DeleteFile('C:\WINDOWS.1\msdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Сделайте лог GMER
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31
    Карантин закачан.
    Файл сохранён как090824_114213_virus_4a924455058a8.zipРазмер файла181641MD5ec1afcac36992cc7475add8cd0273900
    И остальные файлы как Вы просили.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\windows.1\system32\wshost32.exe');
     QuarantineFile('C:\WINDOWS.1\system32\wshost32.exe','');
     DeleteFile('C:\WINDOWS.1\system32\wshost32.exe');
     DeleteFile('c:\windows.1\system32\cssdll32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31
    Карантин загрузил.
    Файл сохранён как090824_132050_virus_4a925b72ea629.zip
    Размер файла231522
    MD50929759e4888a9b293586f1f1dbb7ae7

    И остальные файлы ниже..
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Код:
    C:\Program Files\SUPERAntiSpyware
    C:\Program Files\Lavasoft\Ad-Aware
    Удалите, оно ни к чему
    Поищите в АВЗ/Сервис/Поиск по реестру
    Код:
    c:\windows.1\system32\cssdll32.dll
    и удалите эту запись - это остатки COMODO.

    Больше ничего враждебного не увидел.

  13. #12
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Код:
    c:\windows.1\system32\cssdll32.dll
    и удалите эту запись - это остатки COMODO.
    Со следами COMODO еще один ключ находится ,что с ним делать,он вроде не относится к COMODO?
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = c:\progra~1\agnitum\outpos~1\wl_hook.dll   c:\windows.1\system32\cssdll32.dll

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от zz_ee Посмотреть сообщение
    Со следами COMODO еще один ключ находится
    Он относится к Аутпосту. Если Аутпост стоит - удалите только COMODO-запись.

  15. #14
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    9
    Вес репутации
    31
    Все понял.
    Сделал как писали.Ничего подозрительного в работе компа не замечено до сего момента,надеюсь,что так будет и дальше.
    Спасибо огромное за помощь!!!

    P.S. Если есть какие-то рекомендации,то все непременно прислушаюсь.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 42
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-5386851507-3067467144-722068339-1157\csvcs.exe - Trojan-Dropper.Win32.Agent.bben ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Dropper.TEC, NOD32: Win32/Peerfrag.AU worm, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows.1\msdrive32.exe - Trojan-Dropper.Win32.Small.dta ( DrWEB: Trojan.Qhost.69, BitDefender: IRC-Worm.Generic.6253, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
      3. c:\windows.1\system32\wshost32.exe - Trojan-Downloader.Win32.Agent.cner ( DrWEB: Trojan.Qhost.69, BitDefender: Application.Generic.198223, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Trojan-gen {Other} )


  • Уважаемый(ая) zz_ee, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Видимо, Trojan.Win32.Qhost.wtn
      От Hetzer в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.11.2011, 19:49
    2. Qhost trojan
      От sash20000 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.09.2011, 11:32
    3. Trojan.Win32.Qhost.mbi компьютер 1
      От new в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.09.2010, 17:14
    4. Trojan.BAT.Qhost.gn
      От tarmy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.03.2010, 10:08
    5. Trojan.Win32.Qhost.aei
      От !MIHEY! в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00931 seconds with 17 queries