0
- 15.04.2013 - 09:19
|
Всем привет. Win XP Eng постоянно появляется сообщение ESET SS 4: Win32/Qhost -троянская программа. Очищен удалением. Изолирован. Smart Secutity ничего не находит. Проверял AVZ, в поисковиках находил различные скрипты, выполнял. Проблема осталась. Кто может помочь с лечением? | |
1
- 15.04.2013 - 10:59
|
Раз эта гадость вылазит снова и снова, значит вирус все же остался или распространяется по сети, ну или вновь заносится с инфицированных носителей типа флешек и т.п. Возможно эта гадость модульная и антивирус удалил не все модули. Попробуй CureIt и Kaspersky Virus Removal Tool может они чего дочистят. | |
2
- 15.04.2013 - 12:03
| 1- Комп домашний. Утилиты эти так же ничего не нашли. | |
3
- 15.04.2013 - 15:29
|
Тогда смотреть вручную с помощью AVZ нет ли чего лишнего раз AVZ на автомате ничего не увидел. А так если верить описаниям нод ругается на "Qhost" если кто то модифицирует файл hosts в каталоге C:\WINDOWS\system32\drivers\etc\ собственно там должно быть что то типа: 127.0.0.1 localhost а все остальные строки в нем должны начинаться с # - т.е. быть простыми комментариями. Можно этот файл сделать только для чтения ) Можно качнуть утилиту от sysinternals типа filemon или processmon. Затем в утилите настроить фильтрацию по пути C:\WINDOWS\system32\drivers\etc\ , прописав его в include в параметрах фильтра. И посмотреть с помощью утилиты а ктоже там такой этот файл модифицирует и как. Но если у тебя сидит хороший руткит, то ничего видно не будет. | |
4
- 16.04.2013 - 07:07
| 3-А смотреть вручную это как? | |
5
- 16.04.2013 - 14:22
|
to5 как глазами, у avz есть меню сервис, вот там выбираешь поочередно пункты и смотришь нет ли в тех записях чего подозрительного или странного, далее думаешь и если надо гуглишь т.е. тупо сам работаешь антивирусом. Я так ловил вирусы, которые тот же касперский начинал опознавать лишь спустя месяц ;) Но это все работает, если это простой вирус, а вот если руткит да еще хороший, то avz скорей всего не поможет. Можешь еще на предмет руткитов посмотреть с помощью gmer, но тут надо понимать что эта утилита показывает ибо она показывает не только руткиты. В особо запущенных случаях можно загрузиться с live usb (cd) с linux и чистить систему оттуда. Но ihmo проще иметь образ системы. И вот при таких заморочках тупо перенести ценные данные на не системный диск и развернуть образ с системой. Затем накатить обновления и все делов то. Естественно образ нужно периодически обновлять. | |
6
- 16.04.2013 - 14:41
|
5- В processmon нашел процесс создающий файл hosts: ProcessName - pretorian.exe Path - C:Document and setings\...\Local Settings\Application Data\Yandex\Updater\ Удалил нахрен. Сообщение ESET перестало выпрыгивать. Что-то можно ещё предпринять, скажем так, в качестве контрольного выстрела? | |
7
- 16.04.2013 - 16:28
| to6 видать в последние ты поставил что то от яндекса типа ихнего яндекс бара или может быть браузера или пунтосвитчера. Причем это тебе могли подсунуть с каким нибудь софтом в виде довеска. А вот вместе с этим довеском тебе и стала эта вот гадость (хотя яндекс ее завет защитником). И видать этот "защитник" конфликтует с антивирусом. | |
8
- 16.04.2013 - 16:33
|
опечатался: завет - читать как зовет И да этот защитник не является вирусом и по этому антивирусы молчали. А для контрольного выстрела можешь еще поискать а не стали ли у тебя другие бары от других поисковиков, а так же чудное творение от mail.ru типа mailguard и прочей гадости. | |
9
- 16.04.2013 - 19:55
|
Когда перед проверкой забываю снести mailguard и иже с ним руками, cureit честно рапортует о том, что обнаружен вирус :) За другие ав не скажу, не пользуюсь. AVZ, кстати, запуск этой дряни видит. | |
![]() | Интернет-форум Краснодарского края и Краснодара |