lexcom 0 Опубликовано 6 апреля, 2011 Share Опубликовано 6 апреля, 2011 Добрый день. На компьютере не стояло вообще никаких антивирусов. После установки NOD32 и сканирования компьютера он нашел и вылечил несколько вирусов. После перегрузки компьютера периодически всплывает окно NOD32, которое говорит об уничтожении вируса WIN32/Qhost. И так может продолжаться до бесконечности. Полное сканирование компьютера показывает, что вирусов нет. Помогите, пожалуйста. Логи по правилам форума прилагаю. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 апреля, 2011 Share Опубликовано 6 апреля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\Temp\*.tmp',''); QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys',''); QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys',''); QuarantineFile('C:\Program Files\mediabar Toolbar\*.*',''); DeleteFileMask('C:\Program Files\mediabar Toolbar\','*.* ',true ,' '); DeleteDirectory('C:\Program Files\mediabar Toolbar\',' '); DeleteFileMask('C:\Windows\Temp\','*.tmp',false ,' '); DelBHO('{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677}'); DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}'); DelCLSID('{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - URLSearchHook: Searcher Class - {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} - C:\Program Files\mediabar Toolbar\rubar.dll R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: mediabar - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - C:\Program Files\mediabar Toolbar\rubar.dll O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\mediabar Toolbar\rubar.dll После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии - обновить QuickTime Player до актуальной версии Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
lexcom 0 Опубликовано 7 апреля, 2011 Автор Share Опубликовано 7 апреля, 2011 Выполнил все предложенные действия. Но вирус все равно проявляется каждый раз после загрузки. Прилагаю логи последнего исследования вместе с информацией GetSystemInfo. Вот что написали в письме после анализа логов: clids.xml, config.xml, HTTC56A.tmp_, rubarbroker.exe_, toolbar.layout.xml, TS_1333.tmp_, TS_1709.tmp_, TS_1FB2.tmp_, TS_21D5.tmp_, TS_2A3E.tmp_, TS_3086.tmp_, TS_32D8.tmp_, TS_42FF.tmp_, TS_4F30.tmp_, TS_5EAC.tmp_, Uninstall.exe_ Вредоносный код в файлах не обнаружен. rubar.dll - not-a-virus:WebToolbar.Win32.Rubar.b Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление. Какие должны быть дальнейшие действия, чтобы окончательно вывести заразу? GetSystemInfo_HOME_PC_Alex_2011_04_07_00_35_59.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 апреля, 2011 Share Опубликовано 7 апреля, 2011 лог MBAM не показали + деинсталлируйте McAfee Security Scan Plus + скачайте OSAM установите. запустите. дождитесь окончания сканирования. вверху слева нажмите Save Log отчёт прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
lexcom 0 Опубликовано 8 апреля, 2011 Автор Share Опубликовано 8 апреля, 2011 McAfee деинсталировал. Высылаю логи. mbam_log_2011_04_07__00_12_54_.txt osam.html Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 апреля, 2011 Share Опубликовано 8 апреля, 2011 (изменено) запустите OSAM. дождитесь окончания сканирования. на всех строках синего цвета (file not found) правый клик - turn off затем внизу справа - apply. закройте OSAM. перезагрузитесь. запустите OSAM. дождитесь окончания сканирования. вверху слева нажмите Save Log отчёт прикрепите. файлы C:\Program Files\MediaGet\mediaget.exe C:\Windows\system32\acaptuser32.dll C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe проверьте на virustotal.com 3 ссылки на результаты проверки приложите. покажите скриншот сообщения ESS про вирус и его отчёт. Изменено 8 апреля, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
lexcom 0 Опубликовано 10 апреля, 2011 Автор Share Опубликовано 10 апреля, 2011 Высылаю требуемую информацию. http://www.virustotal.com/file-scan/report...1471-1302447969 http://www.virustotal.com/file-scan/report...6d06-1302449228 http://www.virustotal.com/file-scan/report...6e96-1302449659 osam.html log_ess_10_04_2011.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 апреля, 2011 Share Опубликовано 10 апреля, 2011 Отключите мониторинг файловой системы в реальном времени у ESS (правый клик на иконке в трее, "отключить...") Иконка ESS должна сменить цвет. Перезагрузитесь. Проверьте, что ESS не активен. Сделайте новые логи AVZ и HiJackThis. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 10 апреля, 2011 Share Опубликовано 10 апреля, 2011 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
lexcom 0 Опубликовано 10 апреля, 2011 Автор Share Опубликовано 10 апреля, 2011 Каким образом отключить ESS так, чтобы после перезагрузки он оставался неактивным? При отключении мониторинга предложенным способом после перезагрузки он автоматически запускается. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 апреля, 2011 Share Опубликовано 10 апреля, 2011 Каким образом отключить ESS так а шоб я знал... не пользуюсь... тогда просто делайте лог Combofix, как рекомендовал thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
lexcom 0 Опубликовано 10 апреля, 2011 Автор Share Опубликовано 10 апреля, 2011 Прогнал ComboFix. Компьютер пару раз перезагрузился, причем второй раз через выбор обычная загрузка, в сейфмоде и т.д. В процессе работы удалил три файла (названия не запомнил, писал на экране). Результат: лога C:\ComboFix.txt не обнаружено. Есть C:\ComboFix\ComboFix.txt, его прилагаю. Но я не уверен, что он сильно информативен... Но сообщение о вирусе после последней перезагрузки пока ни разу не выдавалось. Забытый лог ComboFix. ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 апреля, 2011 Share Опубликовано 11 апреля, 2011 (изменено) Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Изменено 11 апреля, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.