Win32/qhost-детектирует нод, блокирует обращение, изолирует и так покругу.
Уважаемые хелперы! Ситуация:
Со слов юзера:
"ничего не закачивали на комп, ничего не копировали"
Оказалось:
В менеджере закачек файрфокса нашел 2 файла: 1) prikaz (файрфокс определил его как вордовский документ, однако в папке закачек винда его не идентифицирует как вордовский файл) 2) ob'avlenie (файрфокс определил его как вордовский документ, в папке закачек отсутвует, поиском не идентифицируеться и не находиться)
как я полагаю, при открытии сайта юзеру было предложено скачать какойто файл , маскирующийся под файл офиса(вордовский файл)
На системе установлен нод 32, базы на момент заражения небыли обновлены, сейчас уже обновил.
Нод 32 обнаруживает Win32/qhost-, он блокирует обращение по адресу в нете, изолирует. При стандартном сканировании нодом- удаляет-изолирует вирус. При перезагрузке всё повторяется.
И самое главное при загрузке , после приветствия винды до загрузки нода появляеться уведомление "ошибка при загрузке msol.voo не найден указанный модуль"
Выкладываю 3 волшебных файла диагностики согласно правилам размещения темы.
Последний раз редактировалось RED_; 20.11.2009 в 17:05.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
2 shapel
выполнил указанную вами последовательность.
Когда пофиксил указнные строчки исчезло уведомление об ошибке msol.voo
карантин залил
Вирус также обращаеться и также блокируеться нодом. Разве что не сразу после перезагрузки системы, а через какое-то время.
прикладываю файлы диагностики:
Последний раз редактировалось RED_; 20.11.2009 в 18:41.
Вирус также обращаеться и также блокируеться нодом.
он такой, он ко всем непатченным системам обращается
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
хорошо, качаю апдейты.
Да, и подскажите зачем мне устанавливать ИЕ8? я пользуюсь в основном или оперой или файрфоксом. может зря?
продолжение следует.....
Последний раз редактировалось RED_; 20.11.2009 в 20:31.
Установил рекомендованный сп3 , по ссылке Rene-gad.
10мин аптайма вируса невидно =).
поставлю ие8.
продолжение следует.....
Добавлено через 5 часов 29 минут
Установил ИЕ8. Прошелся CureIT! - вирусных файлов необнаружено, но при закрытии пишет что обнаружены вирусы, смотреть в карантине и лог файлах. в карантине несколько системных файлов, логфайл CureIT! не открываеться и весит 24 мб.
Сканировал в обычном режиме( не в сэйф моде), почти 4 часа.
Загружаеться система субьективно долго, диспетчер задач странно отображаеться, вернее отображаеться лишь список процессов, отсутствует строка меню диспетчера задач.
чем дальше в лес тем, толще партизаны =(
Последний раз редактировалось RED_; 21.11.2009 в 02:45.
Причина: Добавлено
сейчас выложу логи AVZ. Пунтосвитчер отказываться вести себя адекватно. Вероятно из-за того что я его не отключил по время установки SP3.
Субьективно, некоторое торможение в загрузке системы, открытии приложений.
Исчезли сигналы обнаружения вируса. Нод упорно молчит.
Я так понимаю, вирус опасен если он имеет возможность для причинения вреда, если он неимеет возможности навредить, то пусть так и сидит себе?
П.С.На компе что-то чистили программкой combofix. она корректно не удалена. В корне диска С висят несколько файлов. Подскажите где можно внятно изучить алгоритм удаления?
Последний раз редактировалось RED_; 21.11.2009 в 15:06.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: