Помогите удалить трояна

[alex1970]

Антивирус KAV2011 при включении компьютера находит и удаляет Trojan.Win32.Qhost.qqg , но после перезагрузки троян воскресает. В папке etc (C:\Windows\System32\drivers\etc) появляется файл hosts.ics.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Скачайте Malwarebytes' Anti-Malware установите программу и обновите базы.

 

После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование". После окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл и после прикрепите следующему своему сообщению.

[alex1970]

Найдено 12 заражённых файлов. Нажал кнопку удалить.

mbam_log_2010_12_31__01_43_34_.txt

[zirreX]

AVZ, меню Файл -- Восстановление системы -- Отметьте галочкой 13-й пункт и нажмите Выполнить отмеченные операции.

 

Пофиксите в hijackthis

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

 

Найдено 12 заражённых файлов. Нажал кнопку удалить.

 

d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.

- ложное срабатывание MBAM, это легитимный файл, восстановите файл через меню Карантин -- Отметьте файл и нажмите Восстановить.

Изменено 31 декабря, 2010 пользователем zirreX

[alex1970]

Профиксил, восстановил удалённый файл. В папке с HijackThis появилась папка backups. KAV2011 молчит, а в папке etc два файла hosts.

 

В одном это:

127.0.0.1 vkontakte.ru

127.0.0.1 www.vkontakte.ru

127.0.0.1 vk.com

127.0.0.1 www.vk.com

 

в другом это:

# Copyright © 1993-2001 Microsoft Corp.

#

# This file has been automatically generated for use by Microsoft Internet

# Connection Sharing. It contains the mappings of IP addresses to host names

# for the home network. Please do not make changes to the HOSTS.ICS file.

# Any changes may result in a loss of connectivity between machines on the

# local network.

#

[snifer67]

Первый файл hosts удалите.

[alex1970]

А что толку, они всё равно восстанавливаются. Второй hosts с расширением .ics ( я так понимаю они оба неправильные )

[Roman_Five]

они всё равно восстанавливаются

 

а на какой файл ругается KAV?

Антивирус KAV2011 при включении компьютера находит и удаляет Trojan.Win32.Qhost.qqg

[alex1970]

30.12.2010 8:23:08 Host Process for Windows Services Файловый Антивирус Обнаружено: Trojan.Win32.Qhost.qqg C:\WINDOWS\SYSTEM32\drivers\etc\hosts

[snifer67]

Восстановление системы: включено

И дальше будет восстанавливаться...читайте внимательно правила!

[alex1970]

7. Отключите восстановление системы (Windows Me/XP). - я решил что это касается только Windows Me/XP.

 

Отключил восстановление прошёл шаги заново

 

AVZ, меню Файл -- Восстановление системы -- Отметьте галочкой 13-й пункт и нажмите Выполнить отмеченные операции.

 

Пофиксите в hijackthis

 

Код

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com

R3 - Default URLSearchHook is missing

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

 

файлы всё-равно восстанавливаются.

[Roman_Five]

файлы всё-равно восстанавливаются.

 

мистика.

запустите AVZ

в меню AVZPM выберите "Установить драйвер расширенного режима".

перезагрузитесь.

сделайте новые логи по правилам.

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

полученный лог osam.html прикрепите к новому сообщению.

 

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

прикрепите к сообщению.

[snifer67]

hijackthis запускали от имени администратора?

[alex1970]

Попробуем заново.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

gmer.log

osam.html

[Roman_Five]

1. отключите восстановление системы

http://forum.kaspersky.com/index.php?showtopic=68669

2. очистите точки восстановления системы

диск С - свойства - очистка - дополнительно- точки восстановления - очистить

 

3. пофиксите в HJT (не забудьте запустить его от имени администратора по правому клику на экзешнике) те строки, что и раньше

4. скачайте приложенный файл. извлеките из архива в папку C:\WINDOWS\SYSTEM32\drivers\etc (если спросит про замену, согласитесь).

hosts.zip

5. выполните скрипт в AVZ

begin
SetAVZGuardStatus(true);
ExecuteRepair(13);
ExecuteRepair(20);
end.

перезагрузите компьютер!

 

6. сделайте новые логи AVZ и HJT

Изменено 3 января, 2011 пользователем Roman_Five