Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/12: Рейтинг темы: голосов - 12, средняя оценка - 4.83
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
1

Win32/QHost

23.07.2012, 00:40. Просмотров 2108. Ответов 18
Метки нет (Все метки)

Здравствуйте!
У мен появилась проблема - Eset Smart Security 5 обнаружил Win32/QHost в загрузке. Eset отправил вирус в карантин. Но обнаружились изменения в файле hosts - в файле была только 1 запись: odnoklassniki.ru.
Я скопировала в файл то, что там должно быть (плюс еще 1 строку - по работе нужен доступ на https://...) Изменения сохранились, но доступ на сайт по-прежнему закрыт - похоже, вирус все еще на месте. CureIt ничего не дал, Eset - тоже. Прикрепляю логи.
Заранее огромное спасибо!
0
Вложения
Тип файла: zip rsit.zip (16.6 Кб, 26 просмотров)
Тип файла: zip virusinfo_syscheck.zip (31.5 Кб, 12 просмотров)
Тип файла: zip virusinfo_syscure.zip (31.7 Кб, 14 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
23.07.2012, 00:40
Ответы с готовыми решениями:

Win32/SpyVoltare.A и win32/qhost как лечить?
Недавно нод начал писать про эти вирусы : Win32/SpyVoltare.A и win32/qhost...

Win32/Qhost
Помогите, пожалуйста, разобраться с вирусом. Нод 32: часто всплывало окно об...

Win32/qhost
Доброго времени суток! Проблема заключается в следующем: неделю назад словил...

Win32/Qhost
Здравствуйте, у меня небольшая, но неприятная проблема с данной пакостью....

Win32/Qhost
Здравствуйте, братик подцепил вирус, Qhost, при включении компьютера Nood32 без...

18
Katharsis
Заблокирован
23.07.2012, 10:59 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
нажмите "Fix checked"

Замените домашние страницы в браузерах со speedbar.ru на нужные вручную

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Users\Администратор\AppData\Local\Temp\C87D633C-71D649EA-CE13FA7C-7211EF64', '*', false, '', 0, 0);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\e575c56ca42c7b218bb6d665ff880d175df10ed0f53f901e');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\53d1906e53a2e4bb14297d13');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. сделайте повторные логи avz и rsit.

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
2
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 13:50  [ТС] 3
Я отправила quarantine.zip. В сообщении - логи avz и rsit
Adobe Flash Player не получилось обновить - появилось сообщение, что программа уже была установлена.
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (32.4 Кб, 5 просмотров)
Тип файла: zip log.zip (17.6 Кб, 4 просмотров)
Katharsis
Заблокирован
23.07.2012, 14:15 4
Цитата Сообщение от Daisy48 Посмотреть сообщение
Adobe Flash Player не получилось обновить - появилось сообщение, что программа уже была установлена
если самая свежая версия у вас - то не надо обновлять

остальное выложите
1
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 14:20  [ТС] 5
Сканирование займет около часа - на обоих дисках много информации. Как только закончит скан, сразу отошлю. Еще раз спасибо
0
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 14:31  [ТС] 6
Прикрепляю лог MBAM
0
Вложения
Тип файла: txt mbam-log-2012-07-23 (13-06-35).txt (1.1 Кб, 13 просмотров)
Katharsis
Заблокирован
23.07.2012, 14:38 7
карантин не вижу в ящике, отправьте ещё раз
0
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 14:45  [ТС] 8
Карантин я отправляла по той ссылке, кот. вы указали в инструкциях. Вот он
0
Katharsis
Заблокирован
23.07.2012, 14:47 9
ничего потенциально вредоносного сюда выкладывать нельзя

он у вас пустой
0
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 14:50  [ТС] 10
Еще раз на вскяий случай отправляю логи mbam
0
Вложения
Тип файла: txt mbam.txt (1.8 Кб, 11 просмотров)
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 14:52  [ТС] 11
Извините. Сейчас отправлю через ссылку. Я вроде ничего не меняла, файл quarantine.zip не трогала
0
Katharsis
Заблокирован
23.07.2012, 14:53 12
ещё раз в авз:
Код
begin
 DeleteFileMask('C:\Users\Администратор\AppData\Local\Temp\C87D633C-71D649EA-CE13FA7C-7211EF64', '*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Local\Temp\C87D633C-71D649EA-CE13FA7C-7211EF64');
RebootWindows(true);
end.
компьютер перезагрузится

повторите RSIT

проверьте доступ на нужные вам сайты
1
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 14:54  [ТС] 13
Сейчас еще раз попробую запустить avz и переслать quarantine.zip
0
Katharsis
Заблокирован
23.07.2012, 14:56 14
Цитата Сообщение от Daisy48 Посмотреть сообщение
Еще раз на вскяий случай отправляю
предупреждаем же:
Цитата Сообщение от Katharsis Посмотреть сообщение
Из того что будет отмечено, удалять ничего не нужно.
если удалять все подряд можно и систему положить

IE советую обновить до 9
1
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 15:04  [ТС] 15
Прикрепила лог.
Насчет IE - да, вы правы, с Chrome'ом забыла про него
На нужный сайт заходит без проблем
0
Вложения
Тип файла: zip log_2.zip (10.9 Кб, 4 просмотров)
Katharsis
Заблокирован
23.07.2012, 15:12 16
O1 - Hosts: п»ї# Copyright (c) 1993-2009 Microsoft Corp.
O1 - Hosts: 75.101.167.148 redmine.itp# ........................................................
если не ваши записи в hosts, в логе сканирования Hijackthis отметьте эти пункты и нажмите "Fix checked". Первая строка с комментария должна начинаться, у вас там какие то символы. зачем то

в остальном нормально
Рекомендации после удаления вредоносного ПО
1
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 15:17  [ТС] 17
Втроая запись - моя, а первую нужно исправлять? Виндоус не самоуничтожится?
Все, поняла, сорри. От страха за комп мозги с трудом работают
0
Katharsis
Заблокирован
23.07.2012, 15:20 18
Цитата Сообщение от Daisy48 Посмотреть сообщение
а первую нужно исправлять?
да, ни на что не повлияет

Цитата Сообщение от Daisy48 Посмотреть сообщение
Виндоус не самоуничтожится?
Все, поняла, сорри. От страха за комп мозги с трудом работают
лучше бойтесь удалять то что mbam считает за вирус - бывают случаи, вплоть до незагружаемости.
Если хотите анализировать логи самостоятельно - ищите информацию по каждому файлу и сравнивайте с нормой. Левое удаляйте, измененное исправляйте
1
Daisy48
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 11
23.07.2012, 15:23  [ТС] 19
Еще раз спасибо огромное вам! Первую запись удалила, Все работает чудесно, нужные сайты открываются. Вы просто волшебник! Сейчас создам новую точку восстановления системы и вернусь к работе. Еще раз спасибо за то, что есть такие специалисты, как вы!
И отдельное спасибо за советы!
0
23.07.2012, 15:23
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
23.07.2012, 15:23

Вирус Win32/Qhost
NOD не может справиться с вирусом Win32/Qhost, каждый 5 секунд выскакивает...

Win32/Qhost троян
прошу помочь с проблемой, антивирусник каждый раз пишет вирус в папке hosts...

Подцепил Win32\Qhost.
У меня стоит Нод32 четвертый. Выдает Win32\Qhost, но не вылечивает до конца. Я...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru