Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
Отправить файлы карантина
Разрешенные имена файлов: quarantine.zip, virusinfo_autoquarantine.zip
Максимальное количество файлов: 2
Максимальный размер одного файла: 16.00 Мб
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
fessar
1

Qhost не удаляется

12.09.2012, 18:48. Показов 852. Ответов 4
Метки нет (Все метки)

Доброго времени суток. Проблема в следующем: поймал вирус, ESS 5 пишет, что вирус удалён, но через несколько секунд опять вылазит сообщение об удалённом вирусе, и так до бесконечности. Может не важно, но логи делал через TeamViewer.
Вложения
Тип файла: zip virusinfo_syscheck.zip (22.9 Кб, 1 просмотров)
Тип файла: zip virusinfo_syscure.zip (22.3 Кб, 2 просмотров)
Тип файла: zip log.zip (9.7 Кб, 3 просмотров)
Тип файла: zip info.zip (6.1 Кб, 3 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
12.09.2012, 18:48
Ответы с готовыми решениями:

Qhost
Здравствуйте! У меня проблема. При запуске компьютера кратковременно появляется окошко, где...

Одолел Qhost.
Одолел Qhost. Выполнил Ваши рекомендации. Логи прикладываю.

Win32/Qhost
Здравствуйте, братик подцепил вирус, Qhost, при включении компьютера Nood32 без перерыва писал...

Win32/qhost
Доброго времени суток! Проблема заключается в следующем: неделю назад словил этот вирус, судя по...

4
Вирусоборец
8614 / 4184 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.09.2012, 19:57 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Gafur\AppData\Local\Temp\5931376FdOh','');
 DeleteFile('C:\Users\Gafur\AppData\Local\Temp\5931376FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5931719');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
Код
O4 - HKLM\..\Run: [5931719] cmd.exe /c copy C:\Users\Gafur\AppData\Local\Temp\5931376FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
4. Проверьте вход в систему через безопасный режим. Если не работает, тогда:
Запустите AVZ -> меню Файл -> Восстановление системы
отметьте пункт №10 (восстановление настроек загрузки в SafeMode)
нажмите - выполнить отмеченные операции.
5. Сделайте лог SecurityCheck by screen317

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

7. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
0
fessar
15.09.2012, 21:34 3
1. Выполнил
2. отправил
3. строчки не оказалось
Нод продолжает ругаться.
Вложения
Тип файла: zip info.zip (6.4 Кб, 1 просмотров)
Тип файла: zip log.zip (9.8 Кб, 2 просмотров)
Тип файла: txt mbam-log-2012-09-15 (21-04-00).txt (3.5 Кб, 2 просмотров)
Тип файла: zip virusinfo_syscheck.zip (26.4 Кб, 2 просмотров)
Тип файла: zip virusinfo_syscure.zip (26.3 Кб, 1 просмотров)
Заблокирован
16.09.2012, 01:00 4
из найденного mbam ничего не нужно было удалять. прежде чем что то удалить - нужно выкладывать лог, иначе можно положить систему

Цитата Сообщение от shestale Посмотреть сообщение
5. Сделайте лог SecurityCheck by screen317
где?

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\drivers\jhqvj.sys','');
 DeleteFile('C:\Windows\System32\drivers\jhqvj.sys');
BC_ImportAll;
 BC_DeleteFile('C:\Windows\System32\drivers\jhqvj.sys');
 BC_DeleteSvc('blbiv');
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
 ExecuteRepair(10);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
повторите лог RSIT и AVZ стандартный скрипт 2

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

Сделайте новые логи AVZ и RSIT
0
Заблокирован
18.09.2012, 13:55 5
fessar, ждем вашего ответа
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
18.09.2012, 13:55

Win32/QHost
Здравствуйте! У мен появилась проблема - Eset Smart Security 5 обнаружил Win32/QHost в загрузке....

Троян qhost
Здравствуйте! Помогите удалить троян win32/qhost osu

Win32/Qhost
Помогите, пожалуйста, разобраться с вирусом. Нод 32: часто всплывало окно об угрозе Win32/Qhost....

Проблема с Qhost
проблема с Qhost, возможно есть другие. Все сделал в соответствии с правилами.

Вирус qhost
Здравствуйте. Появился троян qhost. NOD 32 не может его удалить. Спасибо за помощь.

speed2 и qhost
Невесть где поймал speed2, уже 2 недели жрет мои браузеры, а на днях видно словил Qhost. Nod32...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.