Win32/Qhost.OSU trojan - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 22.05.2013

Размещено 22.05.2013 12:11:40

Каждое утро в Eset remote administrator возникают сообщения с двух компьютеров в сети

Column Name Value
Threat Id Threat 760
Client Name Stom405
Computer Name Stom405
MAC Address 6cf0491c73d7
Primary Server Serverbest
Date Received 2013-05-22 08:35:09
Date Occurred 2013-05-22 08:34:40
Level Warning
Scanner Startup scanner
Object file
Name C:\Windows\System32\drivers\etc\hosts
Threat Win32/Qhost.OSU trojan
Action cleaned by deleting - quarantined
User
Information

STOM405_2013-05-22_11-16-04.7z (509.29 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.05.2013 12:14:12

Здравствуйте!

Выполните следующий скрипт в uVS на проблемном ПК:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref /C deltmp delnfr regt 14 restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 4

Баллов: 2

Регистрация: 22.05.2013

Размещено 27.05.2013 11:23:01

Вот логи с обеих машинmbam-log-2013-05-27 (11-17-55).txt (2.38 КБ)MBAM-log-2013-05-27 (11-09-16).txt (4.16 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 27.05.2013 11:25:27

удалите это:

Цитата
Обнаруженные параметры в реестре: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\|1 (Trojan.Agent.Gen) -> Параметры: \\medialogdb2012\scripts\fonts.cmd -> Действие не было предпринято. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\|SysDebug32 (Trojan.Agent) -> Параметры: u?М7rOж.H.хлѕ®¤ЬЂЭѕъ»ыю»лHrЗіЙ%4GЖfЉЗЛ1?ҐЧ{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№в¤Rlљўw6x’¶ ]сЇН АУв(к42Чм\|;^Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№hДZqКмъqв('jFЧ{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№AR(jЊ2¦ -> Действие не было предпринято.

Цитата

Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|1 (Trojan.Agent.Gen) -> Параметры: \\medialogdb2012\scripts\fonts.cmd -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: u?М7rOж.H.хлѕ®¤ЬЂЭѕъ»ыю»лHrЗіЙ%4GЖfЉЗЛ1?ҐЧ{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№в¤Rlљўw6x’¶ ]сЇН
АУв(к42Чм|;^Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№hДZqКмъqв('jFЧ{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№Ч{іОгu№AR(jЊ2¦ -> Действие не было предпринято.

и сделайте образ автозапуска на том ПК, на котором не делали

Правильно заданный вопрос - это уже половина ответа

Win32/Qhost.OSU trojan , Этот вирус появляется ежедневно на двух ПК в локальной сети. Помогите их убрать если можно.