Показано с 1 по 7 из 7.

Снова Qhost (заявка № 59927)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    67
    Вес репутации
    30

    Thumbs up Снова Qhost

    Здравствуйте, помогите, пожалуйста! Qhost опять на компьютере появился, я понял с какого сайта троян попадает - больше туда просто не буду заходить.
    Опять есть файл ntfs_ext7.exe. И подозрительный файл loqk.pso
    Заранее спасибо.
    Последний раз редактировалось new; 28.07.2010 в 16:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('catchme');
     QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
     QuarantineFile('C:\WINDOWS\system32\loqk.pso','');
     DeleteFile('C:\WINDOWS\system32\loqk.pso');
     DeleteFile('C:\DOCUME~1\Fedadm\LOCALS~1\Temp\catchme.sys');
     DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксить в HijackThis(некоторых строчек может и не быть)
    Код:
    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe loqk.pso dqqgra
    ПК перезагрузите.

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    67
    Вес репутации
    30
    Скрипт выполнил.
    Карантин отправил.
    Пофиксить в HijackThis - такой строки не было.
    Вот новые логи.
    Последний раз редактировалось new; 28.07.2010 в 16:30.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Ничего плохого не увидел
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    67
    Вес репутации
    30
    Сообщений об попытке изменения файла host больше небыло).
    Подскажите еще где можно посмотреть информацию про написание скриптов под avz?
    Файл loqk.pso в ручную не как не удалялся. Очень бы хотелось самому научиться с помощью скриптов удалять подозрительные файлы.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от new Посмотреть сообщение
    Очень бы хотелось самому научиться с помощью скриптов удалять подозрительные файлы.
    Подозрительные файлы удалять НИКОГДА не надо, их надо анализировать.
    Насчёт научиться: http://virusinfo.info/profile.php?do=editusergroups и подайте заявку в Студенты.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\loqk.pso - Backdoor.Win32.Bredavi.asm ( DrWEB: Trojan.DownLoad1.11049, AVAST4: Win32:Oficla-D [Trj] )
      2. \\?\globalroot\systemroot\system32\ntfs_ext7.exe - Packed.Win32.Katusha.i ( DrWEB: Trojan.Inject.6510, BitDefender: Trojan.Generic.2662479 )


  • Уважаемый(ая) new, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. QHost
      От Alexlogan в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.01.2012, 14:56
    2. Qhost
      От Chiga в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.11.2011, 18:55
    3. TR/Qhost.xfr
      От Whibe в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 20.11.2011, 15:27
    4. Qhost и еще что-то
      От tandem532 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.06.2010, 13:33
    5. Qhost
      От new в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 31.10.2009, 11:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01194 seconds with 16 queries