Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.80/10: Рейтинг темы: голосов - 10, средняя оценка - 4.80
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
#1

Nod32 обнаружил win32/Qhos

04.12.2012, 14:17. Просмотров 1789. Ответов 25
Метки нет (Все метки)

Nod32 написал, что обнаружил win32/Qhost, возникает всплывающее окно, что он изолирован-удален, но при загрузке компьютера при включенном интернете, вновь возникает предупреждение об обнаружении и его как бы удалении.вот проблема
0
Вложения
Тип файла: zip virusinfo_syscure.zip (24.8 Кб, 9 просмотров)
Тип файла: zip virusinfo_syscheck.zip (22.0 Кб, 0 просмотров)
Тип файла: rar info.rar (5.8 Кб, 3 просмотров)
Тип файла: rar log.rar (9.2 Кб, 4 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
04.12.2012, 14:17
Ответы с готовыми решениями:

Nod32 обнаружил заражение оперативной памяти
После обнаружения про оперативку, нод нашел ещё некоторые вирусы, цп...

В NOD32 и вирус Win32/Qhost.OSU
Доброго времени суток. Недавно NOD32 нашел вирус Win32/Qhost.OSU и пишет...

Nod32 ругается на Win32/Spy.Zbot.ZR
Добрый день гдето подхватил такую гадость бью бью его разными средствами но...

Nod32 ругается на Win32/Spy.Zbot.ZR
Пожалуйста, помогите! Где-то подхватила на просторах интернета, теперь не...

ESET NOD32 Win32/Qhost троянская программа
Доброго времени суток! Помогите пожалуйста. установлен NOD32 каждые 5 секунд...

25
Katharsis
Заблокирован
04.12.2012, 14:26 #2
Цитата Сообщение от opoc77 Посмотреть сообщение
Лечение компьютерных вирусов
что скажете?
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 14:37  [ТС] #3
я сделал все как было написано в теме Правила оформления запроса лечения.

Добавлено через 2 минуты
всплывающее окно непропадает
0
Katharsis
Заблокирован
04.12.2012, 14:37 #4
это круто, а проблема то в чем?
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 14:43  [ТС] #5
еще етот лог добавляю
0
Вложения
Тип файла: log hijackthis.log (11.7 Кб, 3 просмотров)
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 14:58  [ТС] #6
Nod32 написал, что обнаружил win32/Qhost, возникает всплывающее окно, что он изолирован-удален, но при загрузке компьютера при включенном интернете, вновь возникает предупреждение об обнаружении и его как бы удалении.вот проблема

Добавлено через 14 минут
что мне делать
0
Katharsis
Заблокирован
04.12.2012, 15:23 #7
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
 ADirName := NormalDir(ADirName);
 FS := TFileSearch.Create(nil);
 FS.FindFirst(ADirName + '*.*');
 while FS.Found do
  begin
    SetStatusBarText(ADirName + FS.FileName);
    if FS.IsDir then
     begin
       if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then 
         ScanDir(ADirName + FS.FileName, AScanSubDir)
     end
    else
      AddToLog(ADirName + FS.FileName + 'MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ 'Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
            
    FS.FindNext;
  end;
 FS.Free;
end;

begin
ClearLog;
 ScanDir('C:\Documents and Settings\All Users\Application Data\EmulSrch', true); 
 ScanDir('C:\Documents and Settings\Admin\Application Data\EmulSrch', true); 
 SaveLog(GetAVZDirectory + 'MD5&Size.txt');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Ycinba', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Aril', '*', false, '', 0, 0);
 QuarantineFile('C:\WINDOWS\TEMP\getbus.sys','');
 QuarantineFile('C:\WINDOWS\Temp\RarSFX0\hl2.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ycinba\icni.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\cqn2ukg9.exe','');
 DeleteFile('C:\WINDOWS\TEMP\getbus.sys');
 DeleteFile('C:\WINDOWS\Temp\RarSFX0\hl2.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\cqn2ukg9.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Ycinba\icni.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
 DeleteService('getbus');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\RarSFX0\hl2.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{82DA270E-3D6A-DA68-7280-05C46040C277}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Ycinba', '*', true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Aril', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Ycinba');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Aril');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Выложите файл MD5&Size.txt из папки с авз

3. Сделайте новые логи AVZ и RSIT

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. смените все пароли
1
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 15:49  [ТС] #8
пишет ошибка скрипта Too many actual parametrs,позиция(44:11
0
Katharsis
Заблокирован
04.12.2012, 15:56 #9
поправил
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 16:05  [ТС] #10
C:\Documents and Settings\Admin\Application Data\EmulSrch\userinfo.iniMD5= 14E0C00DAC947F06765CA525BF2CACB4Size= 5304
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 16:29  [ТС] #11
добавляю логи
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (20.4 Кб, 0 просмотров)
Тип файла: zip virusinfo_syscure.zip (20.4 Кб, 1 просмотров)
Тип файла: zip info.zip (6.1 Кб, 0 просмотров)
Тип файла: zip log.zip (9.1 Кб, 2 просмотров)
Katharsis
Заблокирован
04.12.2012, 16:44 #12
Цитата Сообщение от Katharsis Посмотреть сообщение
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
это тоже
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 17:11  [ТС] #13
добавляю лог
0
Вложения
Тип файла: txt mbam-log-2012-12-04 (15-07-54).txt (7.7 Кб, 2 просмотров)
Katharsis
Заблокирован
04.12.2012, 17:43 #14
1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Mozilla Firefox\0.5325929076662163.exe','');
 QuarantineFile('C:\Program Files\Mozilla Firefox\0.4490398471627981.exe','');
 DeleteFile('C:\Program Files\Mozilla Firefox\0.5325929076662163.exe');
 DeleteFile('C:\Program Files\Mozilla Firefox\0.4490398471627981.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. повторите лог RSIT и скан Malwarebytes' Anti-Malware только диска С. лог выложите
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 18:04  [ТС] #15
лог выложил
0
Вложения
Тип файла: zip log.zip (18.2 Кб, 4 просмотров)
Katharsis
Заблокирован
04.12.2012, 18:09 #16
это старый лог
Run by Admin at 2012-12-04 14:24:11
нужно новый лог после скрипта
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 18:19  [ТС] #17
новый лог
0
Вложения
Тип файла: rar log.rar (8.9 Кб, 1 просмотров)
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 18:21  [ТС] #18
еще один
0
Вложения
Тип файла: rar info.rar (5.6 Кб, 0 просмотров)
Katharsis
Заблокирован
04.12.2012, 18:25 #19
Цитата Сообщение от Katharsis Посмотреть сообщение
и скан Malwarebytes' Anti-Malware только диска С. лог выложите
это тоже
0
opoc77
0 / 0 / 0
Регистрация: 04.12.2012
Сообщений: 15
04.12.2012, 18:35  [ТС] #20
mbam-log-2012-12-04
0
Вложения
Тип файла: txt mbam-log-2012-12-04 (16-23-55).txt (7.3 Кб, 1 просмотров)
04.12.2012, 18:35
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
04.12.2012, 18:35

Nod32 постоянно указывает на наличие угрозы Win32/Qhost.PES
Nod32 постоянно указывает на наличие угрозы Win32/Qhost.PES по адресу...

ESET NOD32 каждые 5 секунд информирует: win32/Qhost троянская программа
ESET NOD32 каждые 5 секунд информирует: ОБЪЕКТ:...

ESET NOD32 каждые 5 секунд информирует: win32/Qhost троянская программа
ESET NOD32 каждые 5 секунд информирует: ОБЪЕКТ: ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru