Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
1

Win32/Qhost

27.01.2016, 16:16. Показов 476. Ответов 15
Метки нет (Все метки)

Здравствуйте, братик подцепил вирус, Qhost, при включении компьютера Nood32 без перерыва писал сообщение, мол обнаружена угроза Win32/qhost - удален, изолирован. Сканировала утилитой Dr.Web в безопасном режиме и такой же программой Касперского, они вроде как что-то и находили, но избавиться от вируса не удалось, он все еще всплывает, разве что теперь очень редко.
Прошу помощи с ним справиться.
0
Вложения
Тип файла: zip CollectionLog-2016.01.27-16.01.zip (63.1 Кб, 1 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
27.01.2016, 16:16
Ответы с готовыми решениями:

Win32/SpyVoltare.A и win32/qhost как лечить?
Недавно нод начал писать про эти вирусы : Win32/SpyVoltare.A и win32/qhost Удалял файл hosts...

Win32/Qhost
Помогите, пожалуйста, разобраться с вирусом. Нод 32: часто всплывало окно об угрозе Win32/Qhost....

Win32/QHost
Здравствуйте! У мен появилась проблема - Eset Smart Security 5 обнаружил Win32/QHost в загрузке....

Win32/qhost
Доброго времени суток! Проблема заключается в следующем: неделю назад словил этот вирус, судя по...

15
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
27.01.2016, 16:24 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Grimes. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\08DE~1\AppData\Local\Temp\9964125aq', '');
     ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
     DeleteFile('C:\Users\08DE~1\AppData\Local\Temp\9964125aq', '32');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(10);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
    К сообщению прикреплять карантин не нужно!




  3. Подготовьте лог сканирования AdwCleaner.
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 12:06  [ТС] 3
Сделано
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 12:07  [ТС] 4
Сделано
0
Вложения
Тип файла: txt AdwCleaner[S1].txt (12.7 Кб, 2 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
02.02.2016, 12:10 5
1.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 12:32  [ТС] 6
Сделано
0
Вложения
Тип файла: txt AdwCleaner[C1].txt (13.3 Кб, 2 просмотров)
Тип файла: zip FRST.zip (8.4 Кб, 1 просмотров)
Тип файла: zip Addition.zip (13.0 Кб, 1 просмотров)
Тип файла: zip Shortcut.zip (7.0 Кб, 1 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
02.02.2016, 12:36 7
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Windows Batch file
start
CreateRestorePoint:
CHR HKU\S-1-5-21-2752554690-3771420610-2571667219-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2752554690-3771420610-2571667219-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.apeha.ru
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2752554690-3771420610-2571667219-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 13:23  [ТС] 8
Сделано
0
Вложения
Тип файла: txt Fixlog.txt (1.7 Кб, 1 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
02.02.2016, 14:48 9
Цитата Сообщение от Sandor Посмотреть сообщение
что с проблемой
???
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 15:18  [ТС] 10
Вы про вирус или про что?
Если же вирус, то он не так часто всплывает, поэтому пока не могу сказать.
0
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
02.02.2016, 15:23 11
Хорошо. Завершающие два этапа и понаблюдайте:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

2.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 16:23  [ТС] 12
Сделано
0
Вложения
Тип файла: txt SecurityCheck.txt (9.3 Кб, 1 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
02.02.2016, 16:47 13
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player 1.1.11 v.1.1.11 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.1.3 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 22 v.6.0.220 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.5.0.600 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 43.0.4 (x86 ru) v.43.0.4 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^


Прочтите и выполните Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 17:26  [ТС] 14
Сделано
0
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,676
02.02.2016, 17:33 15
Удачи!
0
0 / 0 / 0
Регистрация: 27.01.2016
Сообщений: 13
02.02.2016, 17:36  [ТС] 16
Спасибо большое за помощь, если он еще всплывет отпишу, пока все тихо
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
02.02.2016, 17:36

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Win32/Qhost
Здравствуйте, у меня небольшая, но неприятная проблема с данной пакостью. Пакость при логине...

Вирус Win32/Qhost
NOD не может справиться с вирусом Win32/Qhost, каждый 5 секунд выскакивает табличка и пишет &quot;очищен...

Вирус Win32/qhost
Добрый день. Вирус Win32/qhost помогите с удалением заразы.

Троян win32/Qhost
Включаю интернет, nod32 находит win32/Qhost пишет очищен/удалён, после перезагрузки компьютера всё...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.