Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите удалить Win32/Qhost

1
RSS
 
Hiperborean
Hiperborean
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 16.12.2012
Размещено 09.01.2013 14:55:01
Помогите с удалением Win32/Qhost.
Лог Uvs тут -  http://rghost.ru/42856239
Буду благодарен!)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2013 16:13:15
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://MAILGOSEARCH.RU
delall %Sys32%\MSUPDT.EXE
delall %Sys32%\SDRA64.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
setdns Подключение по локальной сети\4\{2C3EC37A-BD50-41C3-88E8-F29266673C70}\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CCTE1TU.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
REGT 12
regt 14
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 09.01.2013 16:17:27
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2013 16:16:47
+
проверьте данный файл на http://virustotal.com
-----------
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\DRIVERS\CARRXZXI.SYS
Имя файла                   CARRXZXI.SYS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске [SAFE_MODE]
Размер                      100352 байт
Создан                      22.07.2011 в 21:40:27
Изменен                     22.07.2011 в 21:40:28
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Доступ                      Отсутствует доступ к предположительно исполняемому файлу
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\carrx­zxi\
                           
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Network\carrx­zxi\
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\carrxzxi\
carrxzxi                    тип запуска: Авто (2)
[ Как создать образ автозапуска? ]
 
Hiperborean
Hiperborean
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 16.12.2012
Размещено 09.01.2013 19:48:01
Результаты:

SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852­b855
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
MD5: d41d8cd98f00b204e9800998ecf8427e
File size: 0 байт(а) ( 0 bytes )
File name: carrxzxi.sys
File type: unknown
Detection ratio: 0 / 46
Analysis date: 2013-01-09 15:45:06 UTC ( 0 минут ago )

??

+ Лог от Малвербайтс http://rghost.ru/private/42865729/7992fd0c0309cfa97d23846b6116450c
Изменено: Hiperborean - 09.01.2013 20:02:44
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2013 19:48:50
некорректная проверка вышла
Цитата
File size: 0 байт(а) ( 0 bytes )

сделайте проверку в малваребайт
Изменено: santy - 09.01.2013 19:50:33
[ Как создать образ автозапуска? ]
 
Hiperborean
Hiperborean
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 16.12.2012
Размещено 09.01.2013 20:26:39
Проверка в малвербайтс - выше.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 09.01.2013 20:30:42
Вот это оставить
Цитата
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Остальное удалить. ПК Перезагрузить. Что с проблемой?
 
Hiperborean
Hiperborean
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 16.12.2012
Размещено 09.01.2013 20:36:41
Спасибо большое. Проблема решена.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 09.01.2013 20:38:30
Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/
 
1
Читают тему