Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Qhost , Просканировал Cureit i Antimalware, сдалал образ uVS (вложение)

1
RSS
 
baliab
baliab
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2012
Размещено 10.12.2012 17:59:56
Добрый день, просканировал Cureit i Antimalware, сдалал образ uVS (вложение), помогите избавится. Обнаружился запускающийся время от времени процесс fixhosts.exe
Изменено: baliab - 10.12.2012 18:20:48
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 10.12.2012 18:29:59
Первым делом удалите всё, что связано с дополнительным ПО от Яндекс (кроме браузера, если он имеется) и выполните быстрое сканирование mbam.

P.S.> Тема перенесена в соответствующий раздел.
ESET Technical Support
 
baliab
baliab
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2012
Размещено 10.12.2012 18:54:50
Все сделал. Лог в аттаче.
 
baliab
baliab
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2012
Размещено 10.12.2012 19:03:27
В реестре в ветке HKEY_USERS\S-1-5-21-1844237615-606747145-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache присутствуют C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\Updater\fixhosts.exe с значением Hosts file cleaner
C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\Updater\praetorian.exe с значением Yandex

в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Installer\UserData\S-1-5-18\Components\05E88EE23E3D79A4DA62E61D5D4B6A37\57C1AE11D0BDB­0146BB30219E6CE5D86 параметр File значение fixhosts.exe

После удаления C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex, окно предупреждения ESET nod пропало. Файл hosts в C:\WINDOWS\system32\drivers\etc отсутствует.
Изменено: baliab - 10.12.2012 19:07:18
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 10.12.2012 19:04:59
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 9D784A0C003D34AF9CE2F0001D28725F 2259560
addsgn 1A0DD79A5583C58CF42B254E3143FE58CCC1E8F68971E02942C205BC0CD699128217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 MailGuard
addsgn 1A8B9A9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B70E0AA621076430F60139DA5AB2E89638366018BDF58694C63FF062219 8 FixHosts
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
chklst
delvir
deltmp
delnfr
delref HTTP://BROWSERHELP3.RU
regt 12
regt 14
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
Изменено: Арвид - 10.12.2012 19:08:20
Правильно заданный вопрос - это уже половина ответа
 
baliab
baliab
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2012
Размещено 10.12.2012 19:20:45
Нод перестал реагировать на угрозы, но MBAM начал предупреждать что была предотвращена попытка доступа к вредоносному сайту 88.208.32.20, (IP адреса разные).
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 10.12.2012 19:22:16
Мбам удалите. Он параноик еще тот.
Если проблема решена - Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
 
baliab
baliab
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2012
Размещено 10.12.2012 19:32:53
Mbam удалил. Рекомендации сейчас начну выполнять. Спасибо за помощь.
 
1
Читают тему