lexcom Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 Добрый день. На компьютере не стояло вообще никаких антивирусов. После установки NOD32 и сканирования компьютера он нашел и вылечил несколько вирусов. После перегрузки компьютера периодически всплывает окно NOD32, которое говорит об уничтожении вируса WIN32/Qhost. И так может продолжаться до бесконечности. Полное сканирование компьютера показывает, что вирусов нет. Помогите, пожалуйста. Логи по правилам форума прилагаю. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 6 апреля, 2011 Поделиться Опубликовано 6 апреля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\Temp\*.tmp',''); QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys',''); QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys',''); QuarantineFile('C:\Program Files\mediabar Toolbar\*.*',''); DeleteFileMask('C:\Program Files\mediabar Toolbar\','*.* ',true ,' '); DeleteDirectory('C:\Program Files\mediabar Toolbar\',' '); DeleteFileMask('C:\Windows\Temp\','*.tmp',false ,' '); DelBHO('{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677}'); DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}'); DelCLSID('{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - URLSearchHook: Searcher Class - {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} - C:\Program Files\mediabar Toolbar\rubar.dll R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: mediabar - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - C:\Program Files\mediabar Toolbar\rubar.dll O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\mediabar Toolbar\rubar.dll После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии - обновить QuickTime Player до актуальной версии Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
lexcom Опубликовано 7 апреля, 2011 Автор Поделиться Опубликовано 7 апреля, 2011 Выполнил все предложенные действия. Но вирус все равно проявляется каждый раз после загрузки. Прилагаю логи последнего исследования вместе с информацией GetSystemInfo. Вот что написали в письме после анализа логов: clids.xml, config.xml, HTTC56A.tmp_, rubarbroker.exe_, toolbar.layout.xml, TS_1333.tmp_, TS_1709.tmp_, TS_1FB2.tmp_, TS_21D5.tmp_, TS_2A3E.tmp_, TS_3086.tmp_, TS_32D8.tmp_, TS_42FF.tmp_, TS_4F30.tmp_, TS_5EAC.tmp_, Uninstall.exe_ Вредоносный код в файлах не обнаружен. rubar.dll - not-a-virus:WebToolbar.Win32.Rubar.b Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление. Какие должны быть дальнейшие действия, чтобы окончательно вывести заразу? GetSystemInfo_HOME_PC_Alex_2011_04_07_00_35_59.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 7 апреля, 2011 Поделиться Опубликовано 7 апреля, 2011 лог MBAM не показали + деинсталлируйте McAfee Security Scan Plus + скачайте OSAM установите. запустите. дождитесь окончания сканирования. вверху слева нажмите Save Log отчёт прикрепите. Ссылка на комментарий Поделиться на другие сайты Поделиться
lexcom Опубликовано 8 апреля, 2011 Автор Поделиться Опубликовано 8 апреля, 2011 McAfee деинсталировал. Высылаю логи. mbam_log_2011_04_07__00_12_54_.txt osam.html Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 8 апреля, 2011 Поделиться Опубликовано 8 апреля, 2011 (изменено) запустите OSAM. дождитесь окончания сканирования. на всех строках синего цвета (file not found) правый клик - turn off затем внизу справа - apply. закройте OSAM. перезагрузитесь. запустите OSAM. дождитесь окончания сканирования. вверху слева нажмите Save Log отчёт прикрепите. файлы C:\Program Files\MediaGet\mediaget.exe C:\Windows\system32\acaptuser32.dll C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe проверьте на virustotal.com 3 ссылки на результаты проверки приложите. покажите скриншот сообщения ESS про вирус и его отчёт. Изменено 8 апреля, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
lexcom Опубликовано 10 апреля, 2011 Автор Поделиться Опубликовано 10 апреля, 2011 Высылаю требуемую информацию. http://www.virustotal.com/file-scan/report...1471-1302447969 http://www.virustotal.com/file-scan/report...6d06-1302449228 http://www.virustotal.com/file-scan/report...6e96-1302449659 osam.html log_ess_10_04_2011.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 апреля, 2011 Поделиться Опубликовано 10 апреля, 2011 Отключите мониторинг файловой системы в реальном времени у ESS (правый клик на иконке в трее, "отключить...") Иконка ESS должна сменить цвет. Перезагрузитесь. Проверьте, что ESS не активен. Сделайте новые логи AVZ и HiJackThis. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 10 апреля, 2011 Поделиться Опубликовано 10 апреля, 2011 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
lexcom Опубликовано 10 апреля, 2011 Автор Поделиться Опубликовано 10 апреля, 2011 Каким образом отключить ESS так, чтобы после перезагрузки он оставался неактивным? При отключении мониторинга предложенным способом после перезагрузки он автоматически запускается. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 апреля, 2011 Поделиться Опубликовано 10 апреля, 2011 Каким образом отключить ESS так а шоб я знал... не пользуюсь... тогда просто делайте лог Combofix, как рекомендовал thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
lexcom Опубликовано 10 апреля, 2011 Автор Поделиться Опубликовано 10 апреля, 2011 Прогнал ComboFix. Компьютер пару раз перезагрузился, причем второй раз через выбор обычная загрузка, в сейфмоде и т.д. В процессе работы удалил три файла (названия не запомнил, писал на экране). Результат: лога C:\ComboFix.txt не обнаружено. Есть C:\ComboFix\ComboFix.txt, его прилагаю. Но я не уверен, что он сильно информативен... Но сообщение о вирусе после последней перезагрузки пока ни разу не выдавалось. Забытый лог ComboFix. ComboFix.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 11 апреля, 2011 Поделиться Опубликовано 11 апреля, 2011 (изменено) Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Изменено 11 апреля, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти