Win32/Qhost троян

@sider1 · Регистрация: 01.09.2011

прошу помочь с проблемой, антивирусник каждый раз пишет вирус в папке hosts
вот логи:
http://narod.yandex.ru/disk/23... %D0%B8.rar
загрузить сюда не могу из-за ограничений размера текстовых файлов.
заранее спасибо

@~~Katharsis~~ · 01.09.2011, 19:26

запакуйте и загрузите сюда

@sider1 · 01.09.2011, 19:29 **[ТС]**

не додумался... вот:

@~~Katharsis~~ · 01.09.2011, 20:09

Radmin - юзаете?

В логе сканирования Hijackthis отметьте:

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WIN DOWS.0\system32\aa1dff44.exe,C :\WINDOWS.0\system32\dolrfm.exe,C:\WINDOWS.0\syste m32\ayurxt.exe,C:\WINDOWS.0\sy stem32\ingwur.exe,C:\WINDOWS.0\apppatch\vvvcego.da t,
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS.0\system32\XP-6F6E2143.EXE
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\ldtryim.dll

нажмите "Fix checked"

2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\ldtryim.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\ingwur.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\dolrfm.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\ayurxt.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\aa1dff44.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\XP-6F6E2143.EXE','');
 QuarantineFile('C:\WINDOWS.0\apppatch\vvvcego.dat','');
 DeleteFile('C:\WINDOWS.0\apppatch\vvvcego.dat');
 DeleteFile('C:\WINDOWS.0\system32\aa1dff44.exe');
 DeleteFile('C:\WINDOWS.0\system32\ayurxt.exe');
 DeleteFile('C:\WINDOWS.0\system32\dolrfm.exe');
 DeleteFile('C:\WINDOWS.0\system32\ingwur.exe');
 DeleteFile('C:\WINDOWS.0\system32\ldtryim.dll');
 DeleteFile('Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe');
 DeleteFile('C:\WINDOWS.0\system32\XP-6F6E2143.EXE');
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.сделайте повторные логи avz и rsit.

5.обновите:
adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

@sider1 · 02.09.2011, 05:54 **[ТС]**

да через радмин помогаю решить проблему знакомому, самому идти не хочется
сейчас все попробую

@sider1 · 02.09.2011, 17:51 **[ТС]**

проделал то что вы сказали и опять заного то что написано в правилах.
вирус все также отображается каэжые 5 секунд

@~~Katharsis~~ · 02.09.2011, 18:29

1.Выгрузите CureIt

2.AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить

Код

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
end.

3. Из найденного malwarebytes удалите:

Folders Infected:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Files Infected:
c:\documents and settings\Лена\мои документы\Загрузки\photo-5876(1).exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\Лена\мои документы\Загрузки\photo-5876.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS.0\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS.0\system32\internet.fne (HackTool.Patcher) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS.0\system32\com.run (Trojan.Banker) -> No action taken.
c:\WINDOWS.0\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS.0\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\og.EDT (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS.0\system32\ul.dll (Worm.AutoRun) -> No action taken.

лог повторите.

4. смените все пароли!

@sider1 0 / 0 / 0 Регистрация: 01.09.2011 Сообщений: 4
		1
	Win32/Qhost троян 01.09.2011, 19:23. Показов 3992. Ответов 6 Метки нет (Все метки) прошу помочь с проблемой, антивирусник каждый раз пишет вирус в папке hosts вот логи: http://narod.yandex.ru/disk/23... %D0%B8.rar загрузить сюда не могу из-за ограничений размера текстовых файлов. заранее спасибо 0

@~~Katharsis~~ Заблокирован
	01.09.2011, 19:26	2
	запакуйте и загрузите сюда 0

@~~Katharsis~~ Заблокирован
	01.09.2011, 20:09	4
	Radmin - юзаете? В логе сканирования Hijackthis отметьте: F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WIN DOWS.0\system32\aa1dff44.exe,C :\WINDOWS.0\system32\dolrfm.exe,C:\WINDOWS.0\syste m32\ayurxt.exe,C:\WINDOWS.0\sy stem32\ingwur.exe,C:\WINDOWS.0\apppatch\vvvcego.da t, F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS.0\system32\XP-6F6E2143.EXE O20 - AppInit_DLLs: C:\WINDOWS.0\system32\ldtryim.dll нажмите "Fix checked" 2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe',''); QuarantineFile('C:\WINDOWS.0\system32\ldtryim.dll',''); QuarantineFile('C:\WINDOWS.0\system32\ingwur.exe',''); QuarantineFile('C:\WINDOWS.0\system32\dolrfm.exe',''); QuarantineFile('C:\WINDOWS.0\system32\ayurxt.exe',''); QuarantineFile('C:\WINDOWS.0\system32\aa1dff44.exe',''); QuarantineFile('C:\WINDOWS.0\system32\XP-6F6E2143.EXE',''); QuarantineFile('C:\WINDOWS.0\apppatch\vvvcego.dat',''); DeleteFile('C:\WINDOWS.0\apppatch\vvvcego.dat'); DeleteFile('C:\WINDOWS.0\system32\aa1dff44.exe'); DeleteFile('C:\WINDOWS.0\system32\ayurxt.exe'); DeleteFile('C:\WINDOWS.0\system32\dolrfm.exe'); DeleteFile('C:\WINDOWS.0\system32\ingwur.exe'); DeleteFile('C:\WINDOWS.0\system32\ldtryim.dll'); DeleteFile('Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe'); DeleteFile('C:\WINDOWS.0\system32\XP-6F6E2143.EXE'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteRepair(20); RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4.сделайте повторные логи avz и rsit. 5.обновите: adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 0

@sider1 0 / 0 / 0 Регистрация: 01.09.2011 Сообщений: 4
	02.09.2011, 05:54 [ТС]	5
	да через радмин помогаю решить проблему знакомому, самому идти не хочется сейчас все попробую 0

@~~Katharsis~~ Заблокирован
	02.09.2011, 18:29	7
	1.Выгрузите CureIt 2.AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить Код begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); end. 3. Из найденного malwarebytes удалите: Folders Infected: c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. Files Infected: c:\documents and settings\Лена\мои документы\Загрузки\photo-5876(1).exe (Backdoor.Bot) -> No action taken. c:\documents and settings\Лена\мои документы\Загрузки\photo-5876.exe (Backdoor.Bot) -> No action taken. c:\WINDOWS.0\system32\dp1.fne (Worm.Autorun) -> No action taken. c:\WINDOWS.0\system32\internet.fne (HackTool.Patcher) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\WINDOWS.0\system32\com.run (Trojan.Banker) -> No action taken. c:\WINDOWS.0\system32\eAPI.fne (Worm.AutoRun) -> No action taken. c:\WINDOWS.0\system32\krnln.fnr (Trojan.Agent) -> No action taken. c:\WINDOWS.0\system32\og.dll (Worm.AutoRun) -> No action taken. c:\WINDOWS.0\system32\og.EDT (Worm.AutoRun) -> No action taken. c:\WINDOWS.0\system32\RegEx.fnr (Worm.AutoRun) -> No action taken. c:\WINDOWS.0\system32\shell.fne (Worm.AutoRun) -> No action taken. c:\WINDOWS.0\system32\spec.fne (Worm.AutoRun) -> No action taken. c:\WINDOWS.0\system32\ul.dll (Worm.AutoRun) -> No action taken. лог повторите. 4. смените все пароли! 0

Опции темы