Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] подхватил Win32/Qhost

1
RSS
 
Erich
Erich
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 13.11.2012
Размещено 13.11.2012 18:34:07
Здравствуйте.
Подхватил Win32/Qhost троянская программа. Очищен удалением - изолирован. Но окно всплывает после каждой перезагрузки Помогите избавиться пожалуйста
UVS HOMEPC_2012-11-13_18-19-52.7z
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 13.11.2012 18:36:58
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YSZISVPSQVO.EXE
bl 7C10D0148A96FCBDA32200CA4092895E 194560
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YSZISVPSQVO.EXE
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.RAMBLER.RU/?UTM_SOURCE=R19&UTM_MEDIUM=DISTRIBUTION&UTM_CONTENT=E08&UTM_CAMPAIGN=A01
delref COPY
exec MSIEXEC.EXE /I{65C64E3D-539F-4B81-993B-364C6169F8F5}
regt 3
regt 14
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
Erich
Erich
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 13.11.2012
Размещено 13.11.2012 19:38:08
Предоставляю отчёт:
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2012 19:43:15
удалите найденное в мбам,
перегрузите систему,
и еще раз выполните быстрый скан в малваребайт
[ Как создать образ автозапуска? ]
 
Erich
Erich
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 13.11.2012
Размещено 13.11.2012 20:31:11
после всех проделанных действий
Изменено: Erich - 13.11.2012 20:47:12
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2012 20:40:59
проверьте свойства ярлыков браузеров.  там еще может быть прописан старт webalta
------
далее
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
Erich
Erich
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 13.11.2012
Размещено 13.11.2012 20:49:38
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) также был удален, это нечего за собой не повлечет? :(

Где конкретно нужно посмотреть webalta?:)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2012 20:56:51
не повлечет.
--------
в свойствах ярлыков браузеров.
-----------
Изменено: santy - 13.11.2012 20:57:10
[ Как создать образ автозапуска? ]
 
Erich
Erich
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 13.11.2012
Размещено 13.11.2012 20:59:02
Спасибо! проблем вроде нет.
 
1
Читают тему