Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] троянская программа Win32/ Qhost , как найти код

1 2 След.
RSS
 
nataliana123
nataliana123
Пользователь
Сообщений: 73
Баллов: 58
Регистрация: 01.08.2012
Размещено 01.08.2012 16:43:09
скачала программу uvs_v375  распаковала запустила под текущим пользователем сохранила, сохранила  полный образ запуска вот что получилось
http://i060.radikal.ru/1208/19/9994db1ef9e4.jpg

http://rghost.ru/download/39515404/9e45073d0d519becaf2f4e5aef086e2454ce03e­6/1_2012-08-01_16-25-18.7z

как найти "код" и поместить его в буфер  при попытке копировать скрин в буфер обмена пишет об ошибки что это не является командой uvs .
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 01.08.2012 17:04:13
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\КОМП\APPDATA\ROAMING\TASKHOST.EXE
delall %SystemDrive%\USERS\КОМП\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %Sys32%\UPD\SVCHOST.EXE
delall %SystemDrive%\USERS\КОМП\APPDATA\ROAMING\DRPSU\DRVUPDATER.EXE
delref HTTP://BROWSERHELP.RU
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
nataliana123
nataliana123
Пользователь
Сообщений: 73
Баллов: 58
Регистрация: 01.08.2012
Размещено 01.08.2012 18:03:19
Цитата
santy пишет:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
 ;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\КОМП\APPDATA\ROAMING\TASKHOST.EXE
delall %SystemDrive%\USERS\КОМП\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %Sys32%\UPD\SVCHOST.EXE
delall %SystemDrive%\USERS\КОМП\APPDATA\ROAMING\DRPSU\DRVUPDATER.EXE
delref HTTP://BROWSERHELP.RU
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

так я не знаю как сделать сам скрипт в uvs , где искать этот "код" и какой программой его открыт,  запускаю программу startd - под текущем пользователем - сохраняю образ запуска. а дальше ни как не разберусь открываю окошко скрипт ? не как не пойму от куда и куда копировать. можно сделать ответ в картинках через файлообменике?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.08.2012 18:12:07
В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\КОМП\APPDATA\ROAMING\TASKHOST.EXE
delall %SystemDrive%\USERS\КОМП\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %Sys32%\UPD\SVCHOST.EXE
delall %SystemDrive%\USERS\КОМП\APPDATA\ROAMING\DRPSU\DRVUPDATER.EXE
delref HTTP://BROWSERHELP.RU
deltmp
delnfr
regt 14
restart
И жмем кнопку Выполнить.

Так понятнее?
 
nataliana123
nataliana123
Пользователь
Сообщений: 73
Баллов: 58
Регистрация: 01.08.2012
Размещено 01.08.2012 20:50:49
спасибо за помощь. я решила эту проблему по другому (просто удалила полностью яндекс бар и всё приложения и скачала яндекс бар по новой это там вирус  Win32/Qhost  был
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.08.2012 21:03:10
Выполните все же скрипт, для полной зачистки...
 
nataliana123
nataliana123
Пользователь
Сообщений: 73
Баллов: 58
Регистрация: 01.08.2012
Размещено 02.08.2012 08:12:48
компьютер завис через час.( после удаления папки Yandex где был вирус) экран стал синем с белыми надписями. пришлось перезагружать компьютер.после этого вирус вернулся. я разобралась почти во всём .запускаю программу uvs под текущем пользователем - сохраняю журнал -куда копировать я поняла (в буфер обмена skript.cmd) но не как не смогла найти что именно копировать( у вас на картинки показано окошко с названием КОД его я и не могу найти)то что я копировала и вставляла не то там пишет что там нет команды uvs.
Изменено: nataliana123 - 02.08.2012 08:16:10
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 02.08.2012 08:30:32
nataliana123, нам закрыть тему, поскольку вы сам все делаете: сами логи создаете, сами находите решения,
или вы будете следовать нашим рекомендациям?
[ Как создать образ автозапуска? ]
 
nataliana123
nataliana123
Пользователь
Сообщений: 73
Баллов: 58
Регистрация: 01.08.2012
Размещено 02.08.2012 11:48:46
Цитата
santy пишет:
nataliana123 , нам закрыть тему, поскольку вы сам все делаете: сами логи создаете, сами находите решения,
или вы будете следовать нашим рекомендациям?
буду следовать вашим  рекомендациям  .запускаю программу start -  под текущим пользователем - сохраняю полный образ запуска он ( виде архива) я его копировала и архивом и в распаковала  виде  но он не копируется полностью  или что копировать надо где и как найти сам срипт в каком месте как названия папки (файла) как он выглядит  у вас на картинке  есть папка под названием КОД я её не найду?
http://rghost.ru/download/39528448/070ed900c6d297b3d0ee02a0ccd53a0a8f807a2­8/%D0%BE%D0%BA%D0%BE%D1%88%D0%BA%D0%BE.png
http://rghost.ru/download/39528476/13108cd7a03a45596657a1528d248e4ebec0b29­8/%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82.png
http://rghost.ru/download/39528462/727660fad0f6dc70ee1c40a1857050cdaa11186­c/%D1%81%D1%8E%D0%B4%D0%BE%20%D0%B0%20%D0%BE%D1%82%D0%BA%D1%­83%D0%B4%D0%B0.png
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.08.2012 11:57:31
Специально для вас скрипт выделил
Правильно заданный вопрос - это уже половина ответа
 
1 2 След.
Читают тему