Как побороть вирус Win32/Qhost

[lexcom]

Добрый день. На компьютере не стояло вообще никаких антивирусов. После установки NOD32 и сканирования компьютера он нашел и вылечил несколько вирусов. После перегрузки компьютера периодически всплывает окно NOD32, которое говорит об уничтожении вируса WIN32/Qhost. И так может продолжаться до бесконечности. Полное сканирование компьютера показывает, что вирусов нет.

Помогите, пожалуйста. Логи по правилам форума прилагаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\*.tmp','');
QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Program Files\mediabar Toolbar\*.*','');
DeleteFileMask('C:\Program Files\mediabar Toolbar\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\mediabar Toolbar\',' ');
DeleteFileMask('C:\Windows\Temp\','*.tmp',false ,' ');
DelBHO('{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677}');
DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}');
DelCLSID('{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: Searcher Class - {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} - C:\Program Files\mediabar Toolbar\rubar.dll
R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: mediabar - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - C:\Program Files\mediabar Toolbar\rubar.dll
O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\mediabar Toolbar\rubar.dll

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[lexcom]

Выполнил все предложенные действия. Но вирус все равно проявляется каждый раз после загрузки.

Прилагаю логи последнего исследования вместе с информацией GetSystemInfo.

Вот что написали в письме после анализа логов:

clids.xml,

config.xml,

HTTC56A.tmp_,

rubarbroker.exe_,

toolbar.layout.xml,

TS_1333.tmp_,

TS_1709.tmp_,

TS_1FB2.tmp_,

TS_21D5.tmp_,

TS_2A3E.tmp_,

TS_3086.tmp_,

TS_32D8.tmp_,

TS_42FF.tmp_,

TS_4F30.tmp_,

TS_5EAC.tmp_,

Uninstall.exe_

 

Вредоносный код в файлах не обнаружен.

 

rubar.dll - not-a-virus:WebToolbar.Win32.Rubar.b

 

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

 

Какие должны быть дальнейшие действия, чтобы окончательно вывести заразу?

GetSystemInfo_HOME_PC_Alex_2011_04_07_00_35_59.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

лог MBAM не показали

+

деинсталлируйте McAfee Security Scan Plus

+

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

отчёт прикрепите.

[lexcom]

McAfee деинсталировал. Высылаю логи.

mbam_log_2011_04_07__00_12_54_.txt

osam.html

[Roman_Five]

запустите OSAM. дождитесь окончания сканирования.

на всех строках синего цвета (file not found) правый клик - turn off

затем внизу справа - apply.

закройте OSAM.

перезагрузитесь.

запустите OSAM. дождитесь окончания сканирования.

вверху слева нажмите Save Log

отчёт прикрепите.

 

файлы

C:\Program Files\MediaGet\mediaget.exe
C:\Windows\system32\acaptuser32.dll
C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe

проверьте на virustotal.com

3 ссылки на результаты проверки приложите.

 

покажите скриншот сообщения ESS про вирус и его отчёт.

Изменено 8 апреля, 2011 пользователем Roman_Five

[lexcom]

Высылаю требуемую информацию.

http://www.virustotal.com/file-scan/report...1471-1302447969

http://www.virustotal.com/file-scan/report...6d06-1302449228

http://www.virustotal.com/file-scan/report...6e96-1302449659

osam.html

log_ess_10_04_2011.txt

[Roman_Five]

Отключите мониторинг файловой системы в реальном времени у ESS (правый клик на иконке в трее, "отключить...") Иконка ESS должна сменить цвет.

Перезагрузитесь.

Проверьте, что ESS не активен.

Сделайте новые логи AVZ и HiJackThis.

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

[lexcom]

Каким образом отключить ESS так, чтобы после перезагрузки он оставался неактивным? При отключении мониторинга предложенным способом после перезагрузки он автоматически запускается.

[Roman_Five]

Каким образом отключить ESS так

а шоб я знал... не пользуюсь...

 

тогда просто делайте лог Combofix, как рекомендовал thyrex

[lexcom]

Прогнал ComboFix. Компьютер пару раз перезагрузился, причем второй раз через выбор обычная загрузка, в сейфмоде и т.д. В процессе работы удалил три файла (названия не запомнил, писал на экране). Результат: лога C:\ComboFix.txt не обнаружено. Есть C:\ComboFix\ComboFix.txt, его прилагаю. Но я не уверен, что он сильно информативен...

Но сообщение о вирусе после последней перезагрузки пока ни разу не выдавалось.

 

 

Забытый лог ComboFix.

ComboFix.txt

[Roman_Five]

Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Деинсталлируйте ComboFix:

- нажмите Пуск|Start - Выполнить|Run

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

Изменено 11 апреля, 2011 пользователем Roman_Five