Форум esetnod32.ru [тема: Win32/Qhost.PES] http://forum.esetnod32.ru Новое в теме Win32/Qhost.PES форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 20:59:04 +0300 Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
создайте образ автозапуска из под WinPe&uVS
http://forum.esetnod32.ru/forum27/topic2102/
14.03.2012 19:53:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37102/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37102/ Wed, 14 Mar 2012 19:53:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
в безопасном режиме заблокированы клавиатура и мышь
14.03.2012 15:07:43, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37081/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37081/ Wed, 14 Mar 2012 15:07:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог TDSSkiller
14.03.2012 14:53:58, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37079/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37079/ Wed, 14 Mar 2012 14:53:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ сделайте образ автозапуска, но в безопасном режиме.
14.03.2012 14:31:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37078/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37078/ Wed, 14 Mar 2012 14:31:11 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
14.03.2012 14:15:28, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37074/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37074/ Wed, 14 Mar 2012 14:15:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог сканирования ESET NOD32
14.03.2012 14:05:41, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37073/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37073/ Wed, 14 Mar 2012 14:05:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
логи чистые,
выполните сканирование в ESET NOD32 только оперативной памяти,
лог сканирования доавить на форум.
14.03.2012 13:33:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37071/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37071/ Wed, 14 Mar 2012 13:33:21 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот, пожалуйста посмотрите

образ автозапуска

лог малваребайт
14.03.2012 13:29:23, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message37069/ http://forum.esetnod32.ru/messages/forum6/topic4671/message37069/ Wed, 14 Mar 2012 13:29:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. просьба все запрашиваемые логи добавлять на форум,
независимо от того чистые они или нет,
2. в предыдущем сообщении я вас попросил новый образ автозапуска и лог малваребайт.
---
без них не получится разрешить те проблемы, что у вас выходят.
13.03.2012 16:59:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36990/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36990/ Tue, 13 Mar 2012 16:59:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
Всё новый лог сканирования чист, спасибо большое!

Одна незадача осталась, при загрузке компа выходит следующее сообщение от NOD32:

Обнаружена угроза в памяти!
Оперативная память >> Explorer.exe (2768)
Win32/TrojanDownloader.Carberp.AD троянская программа
Очистка невозможна


-----------------
ну и еще изначально не написал - не работают браузеры и не открывается восстановление системы (Восстановление системы отключено групповой политикой. Для включения восстановления системы свяжитесь с администратором домена)
13.03.2012 16:54:43, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36989/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36989/ Tue, 13 Mar 2012 16:54:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
----------
по логу мбам:
удалите все найденное,
перегрузите систему,
сделайте новый образ автозапуска, и новый лог сканирования в мбам,
(логи залить сюда: http://rghost.ru)
13.03.2012 16:29:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36985/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36985/ Tue, 13 Mar 2012 16:29:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполнил скрипт в uVS

Обнаружена угроза в памяти!
Оперативная память >> Explorer.exe (2340)
Win32/TrojanDownloader.Carberp.AD троянская программа
Очистка невозможна

Сделал дополнительно быструю проверку системы в малваребайт

вот лог сканирования лог


нажать удалить то, что он нашел, или не нужно?
13.03.2012 15:58:35, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36982/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36982/ Tue, 13 Mar 2012 15:58:35 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\Y1FIZB.DLL
addsgn 729053925465C9CB0AD4AED1DAC8A245250742F6E905E02F6ED3552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 64 tr. winsock

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\VVYGD.BAT
delall %SystemRoot%\CSRSS.EXE
delall E:\RECYCLED\CTFMON.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.KR06.000\FSWAGZ.EXE
delall .\\XPSJ1RES.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\Y1FIZB.DLL
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
delnfr
regt 12
regt 14
EXEC cmd /c"netsh winsock reset catalog"
restart
=============
перезагрузка, пишем о старых и новых проблемах.
!!!
возможно пропадет доступ к сети,
в этом случае
выполните в окне cmd еще раз команду

====quote====
netsh winsock reset catalog
=============
!!!
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
13.03.2012 14:56:19, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36971/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36971/ Tue, 13 Mar 2012 14:56:19 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
а вот я выше ссылочку выложил с ним под названием "мой лог"
13.03.2012 14:48:59, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36967/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36967/ Tue, 13 Mar 2012 14:48:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
13.03.2012 14:44:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36964/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36964/ Tue, 13 Mar 2012 14:44:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.PES Win32/Qhost.PES C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES в форуме Обнаружение вредоносного кода и ложные срабатывания.
C:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES троянская программа - очищен удалением - изолирован.

Вроде НОД как бы его удаляет,но удаляет только если зайти самостоятельно в WINDOWS\system32\drivers\etc\hosts(там виден еще 1 файл hosts-после чего НОД пишет что это вирус и удаляет этот файл)
Но проблема не решается, т.к. если комп перезагрузить или включить заново-то вирус снова появляется.
Бывает выскакивает предупреждение от НОДа на центр экрана,что не может удалить,пишет что надо перезагруть комп-и так все по новой и по новой.
Помогите пожалуйста убить вирус

мой лог
13.03.2012 14:18:50, Behemoth.]]> http://forum.esetnod32.ru/messages/forum6/topic4671/message36956/ http://forum.esetnod32.ru/messages/forum6/topic4671/message36956/ Tue, 13 Mar 2012 14:18:50 +0400 Обнаружение вредоносного кода и ложные срабатывания