Win XP Eng лечение Win32/Qhost
 

Всем привет.

Win XP Eng постоянно появляется сообщение ESET SS 4:
Win32/Qhost -троянская программа. Очищен удалением. Изолирован.

Smart Secutity ничего не находит. Проверял AVZ, в поисковиках находил различные скрипты, выполнял. Проблема осталась.

Кто может помочь с лечением?

Раз эта гадость вылазит снова и снова, значит вирус все же остался или распространяется по сети, ну или вновь заносится с инфицированных носителей типа флешек и т.п.
Возможно эта гадость модульная и антивирус удалил не все модули. Попробуй CureIt и Kaspersky Virus Removal Tool может они чего дочистят.

1- Комп домашний. Утилиты эти так же ничего не нашли.

Тогда смотреть вручную с помощью AVZ нет ли чего лишнего раз AVZ на автомате ничего не увидел.
А так если верить описаниям нод ругается на "Qhost" если кто то модифицирует файл hosts в каталоге
C:\WINDOWS\system32\drivers\etc\

собственно там должно быть что то типа:
127.0.0.1 localhost
а все остальные строки в нем должны начинаться с # - т.е. быть простыми комментариями.
Можно этот файл сделать только для чтения )
Можно качнуть утилиту от sysinternals типа filemon или processmon. Затем в утилите настроить фильтрацию по пути C:\WINDOWS\system32\drivers\etc\ , прописав его в include в параметрах фильтра. И посмотреть с помощью утилиты а ктоже там такой этот файл модифицирует и как.
Но если у тебя сидит хороший руткит, то ничего видно не будет.

3-А смотреть вручную это как?

to5 как глазами, у avz есть меню сервис, вот там выбираешь поочередно пункты и смотришь нет ли в тех записях чего подозрительного или странного, далее думаешь и если надо гуглишь т.е. тупо сам работаешь антивирусом.
Я так ловил вирусы, которые тот же касперский начинал опознавать лишь спустя месяц ;)
Но это все работает, если это простой вирус, а вот если руткит да еще хороший, то avz скорей всего не поможет.
Можешь еще на предмет руткитов посмотреть с помощью gmer, но тут надо понимать что эта утилита показывает ибо она показывает не только руткиты.
В особо запущенных случаях можно загрузиться с live usb (cd) с linux и чистить систему оттуда. Но ihmo проще иметь образ системы. И вот при таких заморочках тупо перенести ценные данные на не системный диск и развернуть образ с системой. Затем накатить обновления и все делов то. Естественно образ нужно периодически обновлять.

5- В processmon нашел процесс создающий файл hosts:
ProcessName - pretorian.exe
Path - C:Document and setings\...\Local Settings\Application Data\Yandex\Updater\

Удалил нахрен. Сообщение ESET перестало выпрыгивать.
Что-то можно ещё предпринять, скажем так, в качестве контрольного выстрела?

to6 видать в последние ты поставил что то от яндекса типа ихнего яндекс бара или может быть браузера или пунтосвитчера. Причем это тебе могли подсунуть с каким нибудь софтом в виде довеска. А вот вместе с этим довеском тебе и стала эта вот гадость (хотя яндекс ее завет защитником). И видать этот "защитник" конфликтует с антивирусом.

опечатался: завет - читать как зовет

И да этот защитник не является вирусом и по этому антивирусы молчали. А для контрольного выстрела можешь еще поискать а не стали ли у тебя другие бары от других поисковиков, а так же чудное творение от mail.ru типа mailguard и прочей гадости.

Когда перед проверкой забываю снести mailguard и иже с ним руками, cureit честно рапортует о том, что обнаружен вирус :)
За другие ав не скажу, не пользуюсь.
AVZ, кстати, запуск этой дряни видит.