Вирус win32/Qhost троянская программа

@Bober28 · Регистрация: 04.10.2012

Author24 — интернет-сервис помощи студентам

по сути,проблема такая же как здесь:
ESET NOD32 каждые 5 секунд информирует: win32/Qhost троянская программа
у девушки моей ESET NOD32 SS каждые 5 секунд информирует:
ОБЪЕКТ:
C:\WINDOWS\system32\drivers\ect\hosts
Урогза: win32/Qhost троянская программа.
очищен удалением-изолирован.
только еще стартовая страница на Опере mail.ru, хотя её никогда не было..+ вконтакте при нажатии любой ссылки открывается в новом окне левый сайт..
помогите,пожалуйста..логи прикрепил..

@~~Katharsis~~ · 04.10.2012, 21:34

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\bKqjztDfvI2Yy8G', '*', false, '', 0, 0);
 QuarantineFileF('C:\VC1NQAeowdsiEAy', '*', false, '', 0, 0);
 DeleteFileMask('C:\bKqjztDfvI2Yy8G', '*', true);
 DeleteFileMask('C:\VC1NQAeowdsiEAy', '*', true);
 DeleteDirectory('C:\bKqjztDfvI2Yy8G');
 DeleteDirectory('C:\VC1NQAeowdsiEAy');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. Обновите базы AVZ (файл - обновление баз ) и сделайте новые логи AVZ и RSIT

сделайте лог Hijackthis

4. cкачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5/ Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

6/ смените пароли

@Bober28 · 05.10.2012, 17:09 **[ТС]**

всё сделал,отправил. логи прикладываю..
но info.rar не дает вложить..
p.s. в контакте открывание ссылок исчезло

S.R · 05.10.2012, 20:09

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  QuarantineFile('C:\Users\Анечка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winupdate.lnk','');
  QuarantineFile('C:\Users\Анечка\AppData\Roaming\igfxtray.dat','');
  QuarantineFile('C:\Users\Анечка\AppData\Local\Microsoft\Windows\winupdate.exe','');
  DeleteFile('C:\Users\Анечка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winupdate.lnk');
  DeleteFile('C:\Users\Анечка\AppData\Roaming\igfxtray.dat');
  DeleteFile('C:\Users\Анечка\AppData\Local\Microsoft\Windows\winupdate.exe');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Откройте файл C:\Users\Анечка\AppData\Roaming\Mozilla\Firefox\Profiles\qofm5xll.default\prefs. js блокнотом, найдите там строку

Код

"browser.startup.homepage" -  "http://browserhelp2.ru"

и измените адрес домашней страницы на желаемую.

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.

@Bober28 · 06.10.2012, 06:24 **[ТС]**

чуть позже всё сделаю.
а ничего,что у меня браузер по умолчанию Opera?)

@Bober28 · 06.10.2012, 15:45 **[ТС]**

Вот логи.

@~~Katharsis~~ · 06.10.2012, 15:48

что с проблемами?

@Bober28 · 06.10.2012, 15:52 **[ТС]**

ну вот что про контакт говорил-исчезло.нод тоже не ругается)
спасибо огромное!!!)

Добавлено через 1 минуту
а,ну вот только host файла нет,там где он должен быть-вот единственное что,а так да,все норм)

@~~Katharsis~~ · 06.10.2012, 15:52

Рекомендации после удаления вредоносного ПО

@Bober28 · 06.10.2012, 15:58 **[ТС]**

Хорошо.Еще раз огромное спасибо!)

@~~Katharsis~~ Заблокирован
	04.10.2012, 21:34	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('C:\bKqjztDfvI2Yy8G', '', false, '', 0, 0); QuarantineFileF('C:\VC1NQAeowdsiEAy', '', false, '', 0, 0); DeleteFileMask('C:\bKqjztDfvI2Yy8G', '', true); DeleteFileMask('C:\VC1NQAeowdsiEAy', '', true); DeleteDirectory('C:\bKqjztDfvI2Yy8G'); DeleteDirectory('C:\VC1NQAeowdsiEAy'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3. Обновите базы AVZ (файл - обновление баз ) и сделайте новые логи AVZ и RSIT сделайте лог Hijackthis 4. cкачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 5/ Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда. 6/ смените пароли 1

@Bober28 0 / 0 / 0 Регистрация: 04.10.2012 Сообщений: 23
	06.10.2012, 06:24 [ТС]	5
	чуть позже всё сделаю. а ничего,что у меня браузер по умолчанию Opera?) 0

@~~Katharsis~~ Заблокирован
	06.10.2012, 15:48	7
	что с проблемами? 0

@Bober28 0 / 0 / 0 Регистрация: 04.10.2012 Сообщений: 23
	06.10.2012, 15:52 [ТС]	8
	ну вот что про контакт говорил-исчезло.нод тоже не ругается) спасибо огромное!!!) Добавлено через 1 минуту а,ну вот только host файла нет,там где он должен быть-вот единственное что,а так да,все норм) 0

@~~Katharsis~~ Заблокирован
	06.10.2012, 15:52	9
	Рекомендации после удаления вредоносного ПО 0

@Bober28 0 / 0 / 0 Регистрация: 04.10.2012 Сообщений: 23
	06.10.2012, 15:58 [ТС]	10
	Хорошо.Еще раз огромное спасибо!) 0