Форум esetnod32.ru [тема: Win32/Qhost.OSU] http://forum.esetnod32.ru Новое в теме Win32/Qhost.OSU форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 23:06:18 +0300 Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна
02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна
02.07.2013 10:24:59 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\SYURUS~1\AppData\Local\Temp\machineupper32.exe модифицированный Win32/Injector.AIUJ троянская программа очищен удалением - изолирован
02.07.2013 10:23:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Windows\System32\machineupper32.exe модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна 2K\syurusova
01.07.2013 16:21:18 Фильтр HTTP файл хттп://alenaso.pp.ua/zinofedawodigubegota Blocked Object соединение прервано - изолирован 2K\syurusova Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Java\jre6\bin\java.exe.
01.07.2013 13:17:03 Защита в режиме реального времени файл C:\Windows\system32\drivers\etc\hosts Win32/Qhost.OSU троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в файле модифицированном приложением: C:\Windows\System32\cmd.exe.
=============

еще и Win32/Spy.Ranbyus.J

1. добавьте образ автозапуска из безопасного режима.

2. + этот файл проверьте на http://virustotal.com


====quote====
Полное имя C:\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE
Имя файла _ARMCRYPT_26.EXE
Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура TrojanDownloader.Small.PKJ [NOD32] [глубина совпадения 64(64), необх. минимум 13, максимум 64]

www.virustotal.com 2013-01-01 [2012-12-20 01:57:58 UTC ( 6 months, 2 weeks ago )]
Symantec WS.Reputation.1

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 4DE11D0D40000
Linker 9.0
Размер 621871 байт
Создан 18.10.2012 в 15:26:31
Изменен 22.08.2012 в 17:11:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 BF2EF5237C12AF93F47A36B8657D199E26A9BEE2
MD5 04D731F978B641E073AEA73BCF54B836
=============

02.07.2013 07:33:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69397/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69397/ Tue, 02 Jul 2013 07:33:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт выполнил. Картина пока не ясна, сообщения об угрозе появляются каждый день в 13:17. Буду ждать...  :)  Лог журнала обнаружения угроз во вложении.
threat.txt
02.07.2013 07:20:26, Dmitry Kamenev.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69396/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69396/ Tue, 02 Jul 2013 07:20:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 

;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
zoo %SystemDrive%\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE
regt 14
; Java(TM) 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
02.07.2013 05:45:23, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69395/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69395/ Tue, 02 Jul 2013 05:45:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
С вирусом уже должно быть покончено или что то еще необходимо сделать?  :)
02.07.2013 05:10:34, Dmitry Kamenev.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69394/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69394/ Tue, 02 Jul 2013 05:10:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
Образ автозапуска сделал
YURUSOVA_2013-07-02_11-46-38.7z
02.07.2013 05:08:39, Dmitry Kamenev.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69393/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69393/ Tue, 02 Jul 2013 05:08:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал все как описано здесь
mbam-log-2013-07-02 (11-33-04).txt
02.07.2013 05:06:46, Dmitry Kamenev.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69392/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69392/ Tue, 02 Jul 2013 05:06:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
все логи выкладываем на форум в прикрепленные файлы.

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
01.07.2013 05:49:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69356/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69356/ Mon, 01 Jul 2013 05:49:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/Qhost.OSU Win32/Qhost.OSU в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброго времени суток. Возникла проблема как здесь. На компу в локальной сети каждый день в 13:17 вылетает сообщение об угрозе. Необходимо выполнить все действия описанные в теме или же нужно будет отсылать вам логи для получения конкретных инструкций? Заранее благодарен за помощь.
01.07.2013 05:47:57, Dmitry Kamenev.]]> http://forum.esetnod32.ru/messages/forum6/topic9699/message69355/ http://forum.esetnod32.ru/messages/forum6/topic9699/message69355/ Mon, 01 Jul 2013 05:47:57 +0400 Обнаружение вредоносного кода и ложные срабатывания