fessar
|
|
1 | |
Qhost не удаляется12.09.2012, 18:48. Показов 897. Ответов 4
Метки нет (Все метки)
Доброго времени суток. Проблема в следующем: поймал вирус, ESS 5 пишет, что вирус удалён, но через несколько секунд опять вылазит сообщение об удалённом вирусе, и так до бесконечности. Может не важно, но логи делал через TeamViewer.
|
12.09.2012, 18:48 | |
Ответы с готовыми решениями:
4
Qhost Одолел Qhost. Win32/Qhost Win32/qhost |
8617 / 4186 / 333
Регистрация: 22.02.2011
Сообщений: 13,721
|
|
12.09.2012, 19:57 | 2 |
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Gafur\AppData\Local\Temp\5931376FdOh',''); DeleteFile('C:\Users\Gafur\AppData\Local\Temp\5931376FdOh'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5931719'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"'); AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(10); RebootWindows(true); end. 2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 3. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть): Код
O4 - HKLM\..\Run: [5931719] cmd.exe /c copy C:\Users\Gafur\AppData\Local\Temp\5931376FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f 6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. 7. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
0
|
fessar
|
|
15.09.2012, 21:34 | 3 |
1. Выполнил
2. отправил 3. строчки не оказалось Нод продолжает ругаться. |
Заблокирован
|
|
16.09.2012, 01:00 | 4 |
из найденного mbam ничего не нужно было удалять. прежде чем что то удалить - нужно выкладывать лог, иначе можно положить систему
где? Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\drivers\jhqvj.sys',''); DeleteFile('C:\Windows\System32\drivers\jhqvj.sys'); BC_ImportAll; BC_DeleteFile('C:\Windows\System32\drivers\jhqvj.sys'); BC_DeleteSvc('blbiv'); ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(13); ExecuteRepair(10); RebootWindows(true); end. Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. Сделайте новые логи AVZ и RSIT
0
|
Заблокирован
|
|
18.09.2012, 13:55 | 5 |
fessar, ждем вашего ответа
0
|
18.09.2012, 13:55 | |
18.09.2012, 13:55 | |
Помогаю со студенческими работами здесь
5
Win32/QHost Троян qhost Win32/Qhost Проблема с Qhost Вирус qhost speed2 и qhost Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |