Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/Qhost.OSU

1
RSS
 
Dmitry Kamenev
Dmitry Kamenev
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 01.07.2013 05:47:57
Доброго времени суток. Возникла проблема как здесь. На компу в локальной сети каждый день в 13:17 вылетает сообщение об угрозе. Необходимо выполнить все действия описанные в теме или же нужно будет отсылать вам логи для получения конкретных инструкций? Заранее благодарен за помощь.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.07.2013 05:49:38
все логи выкладываем на форум в прикрепленные файлы.

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Dmitry Kamenev
Dmitry Kamenev
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 02.07.2013 05:06:46
Сделал все как описано здесь
Изменено: Dmitry Kamenev - 02.07.2013 05:07:38
 
Dmitry Kamenev
Dmitry Kamenev
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 02.07.2013 05:08:39
Образ автозапуска сделал
 
Dmitry Kamenev
Dmitry Kamenev
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 02.07.2013 05:10:34
С вирусом уже должно быть покончено или что то еще необходимо сделать?  :)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.07.2013 05:45:23
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
zoo %SystemDrive%\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE
regt 14
; Java(TM) 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Dmitry Kamenev
Dmitry Kamenev
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 02.07.2013 07:20:26
Скрипт выполнил. Картина пока не ясна, сообщения об угрозе появляются каждый день в 13:17. Буду ждать...  :)  Лог журнала обнаружения угроз во вложении.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.07.2013 07:33:45
Цитата
02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна
02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна
02.07.2013 10:24:59 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\SYURUS~1\AppData\Local\Temp\machineupper32.exe модифицированный Win32/Injector.AIUJ троянская программа очищен удалением - изолирован
02.07.2013 10:23:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Windows\System32\machineupper32.exe модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна 2K\syurusova
01.07.2013 16:21:18 Фильтр HTTP файл хттп://alenaso.pp.ua/zinofedawodigubegota Blocked Object соединение прервано - изолирован 2K\syurusova Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Java\jre6\bin\java.exe.
01.07.2013 13:17:03 Защита в режиме реального времени файл C:\Windows\system32\drivers\etc\hosts Win32/Qhost.OSU троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в файле модифицированном приложением: C:\Windows\System32\cmd.exe.

еще и Win32/Spy.Ranbyus.J

1. добавьте образ автозапуска из безопасного режима.

2. + этот файл проверьте на http://virustotal.com

Цитата
Полное имя C:\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE
Имя файла _ARMCRYPT_26.EXE
Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура TrojanDownloader.Small.PKJ [NOD32] [глубина совпадения 64(64), необх. минимум 13, максимум 64]

www.virustotal.com 2013-01-01 [2012-12-20 01:57:58 UTC ( 6 months, 2 weeks ago )]
Symantec WS.Reputation.1

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 4DE11D0D40000
Linker 9.0
Размер 621871 байт
Создан 18.10.2012 в 15:26:31
Изменен 22.08.2012 в 17:11:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 BF2EF5237C12AF93F47A36B8657D199E26A9BEE2
MD5 04D731F978B641E073AEA73BCF54B836
Изменено: santy - 02.07.2013 07:34:22
[ Как создать образ автозапуска? ]
 
1
Читают тему