Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Win32/qhost-детектирует нод, блокирует обращение, изолирует и так покругу. (заявка № 60774)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53

    Thumbs up Win32/qhost-детектирует нод, блокирует обращение, изолирует и так покругу.

    Уважаемые хелперы! Ситуация:
    Со слов юзера:
    "ничего не закачивали на комп, ничего не копировали"
    Оказалось:
    В менеджере закачек файрфокса нашел 2 файла: 1) prikaz (файрфокс определил его как вордовский документ, однако в папке закачек винда его не идентифицирует как вордовский файл) 2) ob'avlenie (файрфокс определил его как вордовский документ, в папке закачек отсутвует, поиском не идентифицируеться и не находиться)
    как я полагаю, при открытии сайта юзеру было предложено скачать какойто файл , маскирующийся под файл офиса(вордовский файл)
    На системе установлен нод 32, базы на момент заражения небыли обновлены, сейчас уже обновил.
    Нод 32 обнаруживает Win32/qhost-, он блокирует обращение по адресу в нете, изолирует. При стандартном сканировании нодом- удаляет-изолирует вирус. При перезагрузке всё повторяется.
    И самое главное при загрузке , после приветствия винды до загрузки нода появляеться уведомление "ошибка при загрузке msol.voo не найден указанный модуль"
    Выкладываю 3 волшебных файла диагностики согласно правилам размещения темы.
    Последний раз редактировалось RED_; 20.11.2009 в 17:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксить в Hijack следующие строки:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe msol.voo rmimgf
    Выполнить скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%system32%\ntfs_ext7.exe','');
     DeleteFile('%system32%\ntfs_ext7.exe');
    BC_ImportALL;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(7);
    Executerepair(8);
    Executerepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    2 shapel
    выполнил указанную вами последовательность.
    Когда пофиксил указнные строчки исчезло уведомление об ошибке msol.voo
    карантин залил
    Вирус также обращаеться и также блокируеться нодом. Разве что не сразу после перезагрузки системы, а через какое-то время.
    прикладываю файлы диагностики:
    Последний раз редактировалось RED_; 20.11.2009 в 18:41.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED_ Посмотреть сообщение
    Вирус также обращаеться и также блокируеться нодом.
    он такой, он ко всем непатченным системам обращается
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8.

  6. #5
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    может сначала изловить подонка, а потом уже апдейтить систему?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RED_ Посмотреть сообщение
    может сначала изловить подонка, а потом уже апдейтить систему?
    Он ломится в незакрытые уязвимости. Пропатчите - перестанет ломиться.

  8. #7
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    хорошо, качаю апдейты.
    Да, и подскажите зачем мне устанавливать ИЕ8? я пользуюсь в основном или оперой или файрфоксом. может зря?
    продолжение следует.....
    Последний раз редактировалось RED_; 20.11.2009 в 20:31.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    IE - часть системы. Поэтому тоже подлежит обновлению.

  10. #9
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    Установил рекомендованный сп3 , по ссылке Rene-gad.
    10мин аптайма вируса невидно =).
    поставлю ие8.
    продолжение следует.....

    Добавлено через 5 часов 29 минут

    Установил ИЕ8. Прошелся CureIT! - вирусных файлов необнаружено, но при закрытии пишет что обнаружены вирусы, смотреть в карантине и лог файлах. в карантине несколько системных файлов, логфайл CureIT! не открываеться и весит 24 мб.
    Сканировал в обычном режиме( не в сэйф моде), почти 4 часа.
    Загружаеться система субьективно долго, диспетчер задач странно отображаеться, вернее отображаеться лишь список процессов, отсутствует строка меню диспетчера задач.
    чем дальше в лес тем, толще партизаны =(
    Последний раз редактировалось RED_; 21.11.2009 в 02:45. Причина: Добавлено

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сканирование CureIT нужно в безопасном режиме делать. После этого логи повторите по правилам.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от RED_ Посмотреть сообщение
    диспетчер задач странно отображаеться, вернее отображаеться лишь список процессов, отсутствует строка меню диспетчера задач.
    Двойной клик левой кнопкой мыши на серой части окна диспетчера задач. Нормальный вид диспетчера восстановился?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    2 thyrex спасибо, за подсказку, диспетчер исправился.
    Прогнал нодом, вирусов невидно.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проблемы решены?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    сейчас выложу логи AVZ. Пунтосвитчер отказываться вести себя адекватно. Вероятно из-за того что я его не отключил по время установки SP3.
    Субьективно, некоторое торможение в загрузке системы, открытии приложений.
    Исчезли сигналы обнаружения вируса. Нод упорно молчит.
    Я так понимаю, вирус опасен если он имеет возможность для причинения вреда, если он неимеет возможности навредить, то пусть так и сидит себе?
    П.С.На компе что-то чистили программкой combofix. она корректно не удалена. В корне диска С висят несколько файлов. Подскажите где можно внятно изучить алгоритм удаления?
    Вложения Вложения
    Последний раз редактировалось RED_; 21.11.2009 в 15:06.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от RED_ Посмотреть сообщение
    П.С.На компе что-то чистили программкой combofix. она корректно не удалена.
    http://virusinfo.info/showpost.php?p=500136&postcount=2

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('\Device\HarddiskVolume2\DOCUME~1\RED\LOCALS~1\temp\dc14270144\8a4ngxp.exe');
     QuarantineFile('\Device\HarddiskVolume2\DOCUME~1\RED\LOCALS~1\temp\dc14270144\8a4ngxp.exe','');
     DeleteFile('\Device\HarddiskVolume2\DOCUME~1\RED\LOCALS~1\temp\dc14270144\8a4ngxp.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Последний раз редактировалось thyrex; 21.11.2009 в 16:12.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    скрипт выполнил.
    карантин пустой

  18. #17

  19. #18
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    Сделал логи.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Зачистим остатки
    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
    ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению

  21. #20
    Junior Member Репутация
    Регистрация
    20.11.2009
    Сообщений
    21
    Вес репутации
    53
    скрипт выполнил

  • Уважаемый(ая) RED_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 16.04.2011, 22:48
    2. Ответов: 9
      Последнее сообщение: 18.12.2009, 10:38
    3. Win32/Qhost
      От kasitan в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 19.05.2009, 00:14
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:14
    5. Win32/Qhost
      От BMW в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 25.04.2008, 18:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00584 seconds with 20 queries