Перейти к содержанию

Помогите удалить трояна


Рекомендуемые сообщения

Антивирус KAV2011 при включении компьютера находит и удаляет Trojan.Win32.Qhost.qqg , но после перезагрузки троян воскресает. В папке etc (C:\Windows\System32\drivers\etc) появляется файл hosts.ics.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware установите программу и обновите базы.

 

После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование". После окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл и после прикрепите следующему своему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

AVZ, меню Файл -- Восстановление системы -- Отметьте галочкой 13-й пункт и нажмите Выполнить отмеченные операции.

 

Пофиксите в hijackthis

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

 

Найдено 12 заражённых файлов. Нажал кнопку удалить.

 

d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.

- ложное срабатывание MBAM, это легитимный файл, восстановите файл через меню Карантин -- Отметьте файл и нажмите Восстановить.

Изменено пользователем zirreX
Ссылка на сообщение
Поделиться на другие сайты

Профиксил, восстановил удалённый файл. В папке с HijackThis появилась папка backups. KAV2011 молчит, а в папке etc два файла hosts.

 

В одном это:

127.0.0.1 vkontakte.ru

127.0.0.1 www.vkontakte.ru

127.0.0.1 vk.com

127.0.0.1 www.vk.com

 

в другом это:

# Copyright © 1993-2001 Microsoft Corp.

#

# This file has been automatically generated for use by Microsoft Internet

# Connection Sharing. It contains the mappings of IP addresses to host names

# for the home network. Please do not make changes to the HOSTS.ICS file.

# Any changes may result in a loss of connectivity between machines on the

# local network.

#

Ссылка на сообщение
Поделиться на другие сайты
они всё равно восстанавливаются

 

а на какой файл ругается KAV?

Антивирус KAV2011 при включении компьютера находит и удаляет Trojan.Win32.Qhost.qqg
Ссылка на сообщение
Поделиться на другие сайты

7. Отключите восстановление системы (Windows Me/XP). - я решил что это касается только Windows Me/XP.

 

Отключил восстановление прошёл шаги заново

 

AVZ, меню Файл -- Восстановление системы -- Отметьте галочкой 13-й пункт и нажмите Выполнить отмеченные операции.

 

Пофиксите в hijackthis

 

Код

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com

R3 - Default URLSearchHook is missing

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

 

файлы всё-равно восстанавливаются.

Ссылка на сообщение
Поделиться на другие сайты
файлы всё-равно восстанавливаются.

 

мистика. :)

запустите AVZ

в меню AVZPM выберите "Установить драйвер расширенного режима".

перезагрузитесь.

сделайте новые логи по правилам.

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

полученный лог osam.html прикрепите к новому сообщению.

 

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. отключите восстановление системы

http://forum.kaspersky.com/index.php?showtopic=68669

2. очистите точки восстановления системы

диск С - свойства - очистка - дополнительно- точки восстановления - очистить

 

3. пофиксите в HJT (не забудьте запустить его от имени администратора по правому клику на экзешнике) те строки, что и раньше

4. скачайте приложенный файл. извлеките из архива в папку C:\WINDOWS\SYSTEM32\drivers\etc (если спросит про замену, согласитесь).

hosts.zip

5. выполните скрипт в AVZ

begin
SetAVZGuardStatus(true);
ExecuteRepair(13);
ExecuteRepair(20);
end.

перезагрузите компьютер!

 

6. сделайте новые логи AVZ и HJT

Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...