Перейти к содержанию
Правила раздела

Помогите удалить трояна

alex1970

От alex1970
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

alex1970 Новичок

alex1970

Опубликовано
Опубликовано

Антивирус KAV2011 при включении компьютера находит и удаляет Trojan.Win32.Qhost.qqg , но после перезагрузки троян воскресает. В папке etc (C:\Windows\System32\drivers\etc) появляется файл hosts.ics.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Скачайте Malwarebytes' Anti-Malware установите программу и обновите базы.

 

После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование". После окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл и после прикрепите следующему своему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
zirreX Постоялец

zirreX

Опубликовано
Опубликовано (изменено)

AVZ, меню Файл -- Восстановление системы -- Отметьте галочкой 13-й пункт и нажмите Выполнить отмеченные операции.

 

Пофиксите в hijackthis

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

 

Найдено 12 заражённых файлов. Нажал кнопку удалить.

 

d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.

- ложное срабатывание MBAM, это легитимный файл, восстановите файл через меню Карантин -- Отметьте файл и нажмите Восстановить.

Изменено пользователем zirreX
Ссылка на комментарий
Поделиться на другие сайты
alex1970 Новичок

alex1970

Опубликовано
  • Автор
Опубликовано

Профиксил, восстановил удалённый файл. В папке с HijackThis появилась папка backups. KAV2011 молчит, а в папке etc два файла hosts.

 

В одном это:

127.0.0.1 vkontakte.ru

127.0.0.1 www.vkontakte.ru

127.0.0.1 vk.com

127.0.0.1 www.vk.com

 

в другом это:

# Copyright © 1993-2001 Microsoft Corp.

#

# This file has been automatically generated for use by Microsoft Internet

# Connection Sharing. It contains the mappings of IP addresses to host names

# for the home network. Please do not make changes to the HOSTS.ICS file.

# Any changes may result in a loss of connectivity between machines on the

# local network.

#

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
они всё равно восстанавливаются

 

а на какой файл ругается KAV?

Антивирус KAV2011 при включении компьютера находит и удаляет Trojan.Win32.Qhost.qqg
Ссылка на комментарий
Поделиться на другие сайты
alex1970 Новичок

alex1970

Опубликовано
  • Автор
Опубликовано

7. Отключите восстановление системы (Windows Me/XP). - я решил что это касается только Windows Me/XP.

 

Отключил восстановление прошёл шаги заново

 

AVZ, меню Файл -- Восстановление системы -- Отметьте галочкой 13-й пункт и нажмите Выполнить отмеченные операции.

 

Пофиксите в hijackthis

 

Код

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com

R3 - Default URLSearchHook is missing

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

 

файлы всё-равно восстанавливаются.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
файлы всё-равно восстанавливаются.

 

мистика. :)

запустите AVZ

в меню AVZPM выберите "Установить драйвер расширенного режима".

перезагрузитесь.

сделайте новые логи по правилам.

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

полученный лог osam.html прикрепите к новому сообщению.

 

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

1. отключите восстановление системы

http://forum.kaspersky.com/index.php?showtopic=68669

2. очистите точки восстановления системы

диск С - свойства - очистка - дополнительно- точки восстановления - очистить

 

3. пофиксите в HJT (не забудьте запустить его от имени администратора по правому клику на экзешнике) те строки, что и раньше

4. скачайте приложенный файл. извлеките из архива в папку C:\WINDOWS\SYSTEM32\drivers\etc (если спросит про замену, согласитесь).

hosts.zip

5. выполните скрипт в AVZ

begin
SetAVZGuardStatus(true);
ExecuteRepair(13);
ExecuteRepair(20);
end.

перезагрузите компьютер!

 

6. сделайте новые логи AVZ и HJT

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Namnayshka
      [РЕШЕНО] Помогите, пожалуйста удалить троян или составить fixlog
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
×
×
  • Создать...