Перейти к содержанию
Правила раздела

Как побороть вирус Win32/Qhost

lexcom

От lexcom
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

lexcom Новичок

lexcom

Опубликовано
Опубликовано

Добрый день. На компьютере не стояло вообще никаких антивирусов. После установки NOD32 и сканирования компьютера он нашел и вылечил несколько вирусов. После перегрузки компьютера периодически всплывает окно NOD32, которое говорит об уничтожении вируса WIN32/Qhost. И так может продолжаться до бесконечности. Полное сканирование компьютера показывает, что вирусов нет.

Помогите, пожалуйста. Логи по правилам форума прилагаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\*.tmp','');
QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Program Files\mediabar Toolbar\*.*','');
DeleteFileMask('C:\Program Files\mediabar Toolbar\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\mediabar Toolbar\',' ');
DeleteFileMask('C:\Windows\Temp\','*.tmp',false ,' ');
DelBHO('{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677}');
DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}');
DelCLSID('{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: Searcher Class - {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} - C:\Program Files\mediabar Toolbar\rubar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: mediabar - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - C:\Program Files\mediabar Toolbar\rubar.dll
O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\mediabar Toolbar\rubar.dll

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
lexcom Новичок

lexcom

Опубликовано
  • Автор
Опубликовано

Выполнил все предложенные действия. Но вирус все равно проявляется каждый раз после загрузки.

Прилагаю логи последнего исследования вместе с информацией GetSystemInfo.

Вот что написали в письме после анализа логов:

clids.xml,

config.xml,

HTTC56A.tmp_,

rubarbroker.exe_,

toolbar.layout.xml,

TS_1333.tmp_,

TS_1709.tmp_,

TS_1FB2.tmp_,

TS_21D5.tmp_,

TS_2A3E.tmp_,

TS_3086.tmp_,

TS_32D8.tmp_,

TS_42FF.tmp_,

TS_4F30.tmp_,

TS_5EAC.tmp_,

Uninstall.exe_

 

Вредоносный код в файлах не обнаружен.

 

rubar.dll - not-a-virus:WebToolbar.Win32.Rubar.b

 

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

 

Какие должны быть дальнейшие действия, чтобы окончательно вывести заразу?

GetSystemInfo_HOME_PC_Alex_2011_04_07_00_35_59.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

лог MBAM не показали

+

деинсталлируйте McAfee Security Scan Plus

+

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

отчёт прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

запустите OSAM. дождитесь окончания сканирования.

на всех строках синего цвета (file not found) правый клик - turn off

затем внизу справа - apply.

закройте OSAM.

перезагрузитесь.

запустите OSAM. дождитесь окончания сканирования.

вверху слева нажмите Save Log

отчёт прикрепите.

 

файлы

C:\Program Files\MediaGet\mediaget.exe
C:\Windows\system32\acaptuser32.dll
C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe

проверьте на virustotal.com

3 ссылки на результаты проверки приложите.

 

покажите скриншот сообщения ESS про вирус и его отчёт.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
lexcom Новичок

lexcom

Опубликовано
  • Автор
Опубликовано

Высылаю требуемую информацию.

http://www.virustotal.com/file-scan/report...1471-1302447969

http://www.virustotal.com/file-scan/report...6d06-1302449228

http://www.virustotal.com/file-scan/report...6e96-1302449659

osam.html

post-21175-1302449818_thumb.jpg

log_ess_10_04_2011.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Отключите мониторинг файловой системы в реальном времени у ESS (правый клик на иконке в трее, "отключить...") Иконка ESS должна сменить цвет.

Перезагрузитесь.

Проверьте, что ESS не активен.

Сделайте новые логи AVZ и HiJackThis.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Ссылка на комментарий
Поделиться на другие сайты
lexcom Новичок

lexcom

Опубликовано
  • Автор
Опубликовано

Каким образом отключить ESS так, чтобы после перезагрузки он оставался неактивным? При отключении мониторинга предложенным способом после перезагрузки он автоматически запускается.

Ссылка на комментарий
Поделиться на другие сайты
lexcom Новичок

lexcom

Опубликовано
  • Автор
Опубликовано

Прогнал ComboFix. Компьютер пару раз перезагрузился, причем второй раз через выбор обычная загрузка, в сейфмоде и т.д. В процессе работы удалил три файла (названия не запомнил, писал на экране). Результат: лога C:\ComboFix.txt не обнаружено. Есть C:\ComboFix\ComboFix.txt, его прилагаю. Но я не уверен, что он сильно информативен...

Но сообщение о вирусе после последней перезагрузки пока ни разу не выдавалось.

 

 

Забытый лог ComboFix.

ComboFix.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Деинсталлируйте ComboFix:

- нажмите Пуск|Start - Выполнить|Run

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Vyacheslav_G
      Вирус не удаляется
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
    • nghtmrmdtrd
      John вирус
      От nghtmrmdtrd
      Сегодня утром обнаружил, что цп ноутбука уходит под 100%, как обычно решил проверить его через Dr.Web, сайт мнгновенно закрвается, старые .exe др веб в загрузках тоже были удалены, попробовал откат на 2 дня, не проконтролировал нехватку памяти после чего откат не удался, а когда зашел снова в точку возврата, было написано что контрольных точек на этом компьютере больше нет. При запуске в безопасном режиме появился пользователь john. Откатывать винду лень, есть решение без отката?
       
      Сообщение от модератора Mark D. Pearlstone Темы перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...