Форум esetnod32.ru [тема: Qhost] http://forum.esetnod32.ru Новое в теме Qhost форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 22 Apr 2026 11:06:43 +0300 Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Mbam удалил. Рекомендации сейчас начну выполнять. Спасибо за помощь.
10.12.2012 19:32:53, baliab.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59123/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59123/ Mon, 10 Dec 2012 19:32:53 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Мбам удалите. Он параноик еще тот.
Если проблема решена - Выполните рекомендации
10.12.2012 19:22:16, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59120/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59120/ Mon, 10 Dec 2012 19:22:16 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Нод перестал реагировать на угрозы, но MBAM начал предупреждать что была предотвращена попытка доступа к вредоносному сайту 88.208.32.20, (IP адреса разные).
10.12.2012 19:20:45, baliab.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59118/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59118/ Mon, 10 Dec 2012 19:20:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 9D784A0C003D34AF9CE2F0001D28725F 2259560
addsgn 1A0DD79A5583C58CF42B254E3143FE58CCC1E8F68971E02942C205BC0CD699128217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 MailGuard
addsgn 1A8B9A9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B70E0AA621076430F60139DA5AB2E89638366018BDF58694C63FF062219 8 FixHosts
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
chklst
delvir
deltmp
delnfr
delref HTTP://BROWSERHELP3.RU
regt 12
regt 14
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
10.12.2012 19:04:59, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59114/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59114/ Mon, 10 Dec 2012 19:04:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
В реестре в ветке HKEY_USERS\S-1-5-21-1844237615-606747145-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache присутствуют C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\Updater\fixhosts.exe с значением Hosts file cleaner
C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\Updater\praetorian.exe с значением Yandex

в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Installer\UserData\S-1-5-18\Components\05E88EE23E3D79A4DA62E61D5D4B6A37\57C1AE11D0BDB­0146BB30219E6CE5D86 параметр File значение fixhosts.exe

После удаления C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex, окно предупреждения ESET nod пропало. Файл hosts в C:\WINDOWS\system32\drivers\etc отсутствует.
10.12.2012 19:03:27, baliab.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59112/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59112/ Mon, 10 Dec 2012 19:03:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Все сделал. Лог в аттаче.
mbam-log-2012-12-10 (16-40-37).zip
10.12.2012 18:54:50, baliab.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59109/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59109/ Mon, 10 Dec 2012 18:54:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Первым делом удалите всё, что связано с дополнительным ПО от Яндекс (кроме браузера, если он имеется) и выполните быстрое сканирование mbam.

P.S.> Тема перенесена в соответствующий раздел.
10.12.2012 18:29:59, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59096/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59096/ Mon, 10 Dec 2012 18:29:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Qhost Qhost Просканировал Cureit i Antimalware, сдалал образ uVS (вложение) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день, просканировал Cureit i Antimalware, сдалал образ uVS (вложение), помогите избавится. Обнаружился запускающийся время от времени процесс fixhosts.exe
COMP_2012-12-06_20-06-58.7z
10.12.2012 17:59:56, baliab.]]> http://forum.esetnod32.ru/messages/forum6/topic8010/message59006/ http://forum.esetnod32.ru/messages/forum6/topic8010/message59006/ Mon, 10 Dec 2012 17:59:56 +0400 Обнаружение вредоносного кода и ложные срабатывания