Форум esetnod32.ru [тема: Win32/Qhost троянская программа] http://forum.esetnod32.ru Новое в теме Win32/Qhost троянская программа форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 14:19:51 +0300 Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните сканирование в малваребайт
13.11.2012 10:18:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56436/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56436/ Tue, 13 Nov 2012 10:18:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо, проблем больше не обнаружено.
13.11.2012 10:15:37, TimforShade.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56435/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56435/ Tue, 13 Nov 2012 10:15:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\EKATRIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
13.11.2012 10:02:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56434/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56434/ Tue, 13 Nov 2012 10:02:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
эту программу используете в работе? предоставляет возможность терминального доступа к системе.


====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\BETWINSERVICEXP.EXE
Имя файла                   BETWINSERVICEXP.EXE
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]
Размер                      261448 байт
Создан                      16.04.2012 в 12:07:33
Изменен                     16.04.2012 в 12:07:31
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
                           
Оригинальное имя            BeTwinService.exe
Версия файла                2.00 built by: WinDDK
Описание                    BeTwin Terminal Services
Производитель               ThinSoft Pte Ltd.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
pid = 1516                  NT AUTHORITY\SYSTEM
CmdLine                     System32\BeTwinServiceXP.exe
Процесс создан              08:11:07 [2012.11.13]
С момента создания          01:38:22
parentid = 780              C:\WINDOWS\SYSTEM32\SERVICES.EXE
LISTEN                      0.0.0.0:3389
SHA1                        EE1395D69AE3F87D9772A5A02A33DC44562026DA
MD5                         6FD6AD11E81543D3B114B4EE7CC3C2E5

=============

13.11.2012 10:00:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56433/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56433/ Tue, 13 Nov 2012 10:00:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделано.
KATRIN_2012-11-13_09-49-25.7z
13.11.2012 09:55:38, TimforShade.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56432/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56432/ Tue, 13 Nov 2012 09:55:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
переделайте образ автозапуска новой версией uVS 3.76

====quote====
uVS v3.74: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]
=============
скачать можно отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/40478212
13.11.2012 09:38:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56431/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56431/ Tue, 13 Nov 2012 09:38:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost троянская программа Win32/Qhost троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вылезает сообщение Win32/Qhost троянская программа .
Прошу помочь.
Образ автозапуска в uVS
13.11.2012 09:03:00, TimforShade.]]> http://forum.esetnod32.ru/messages/forum6/topic7613/message56429/ http://forum.esetnod32.ru/messages/forum6/topic7613/message56429/ Tue, 13 Nov 2012 09:03:00 +0400 Обнаружение вредоносного кода и ложные срабатывания