Последнее обновление: 23 мая 2015 в 14:58
Подпишись на RSS
rss Подпишитесь на RSS, чтобы всегда быть в курсе событий.

Вообще то я сижу на корбине уже более года. В принципе все устраивает, чтолько цены слегка дороговаты, а снижать цены на фоне всеобщей «интернатизации» и активного продвижения новых провайдеров Корбина вроде не планирует поэтому я решил попробовать подключится еще к одному провайдеру, но уже на безлимитный тариф. На Корбине у меня тарифный план без ограничения […]


В статье про вирус, который просит пополнить счет абонента Билайн я писал как снять баннер с помощью Live CD. Дело в том, что тот вирус заменяет ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, подставляет вместо Explorer.exe себя, и поэтому на экране появляется баннер вместо привычного рабочего стола. В этом случае можно снять баннер и без Live CD. Для […]


Метки

Метки записей
партии Финансы вирус эмулирует нажатие Win Сайты дравер MySQL скачать Пошаговая свертка Взлом 1С автозапуск Работа Подключить 1С к MySQL Загрузка с компакт - диска заблокирован Игры Свертка по партиям Отчет открыть xlsx docx Интересные места Экстремальные игры взломать пароль СМС Мужчина и женщина HP Pavilion dv6000 Zver DVD Windows XP День жестянщика Взлом 1 просроченная дебиторская задолженность бесплатно антивирус сайт новости Вирусы Интерент Юмор Oracle переустановка windows свертка узнать пароль уменьшить размер базы Программы для 1С Drivers сверка базы 1С контент-провайдер homachi локальная сеть через интернет 1с реестр мошенничество Бухгалтерия печать от поставщика 1с и MySQL Удаление партий связь удаляем пароли программы для слепых Автомобили Документы на почту Лирика office 2003 Обработки гаджеты Жизнь удаление документов Файлы 1С расчет ПЗД реестр LiveCD Dr.Web вирус пакетный запуск 1С сбились номера документов Свертка базы 1С Методика свертки 1С Интернет Оборудование Структура 1С портативный аккумулятор Новая форма счет-Фактуры Свертка 1С редактирование DBF Спутниковое ТВ Проблемы Делаем LiveCD Драйвера антивирусы свертка в картинках перенумарация сертфикаты Драйвер ODBC скачать Оптимизация XPE Вопросы Система перенос документов Интренет восстановить нумерацию Добавить новую метку Отзывы ZverCD Анализ ПДЗ Кино Установка Windows Отношения Ошибки 1С Спорт автоматизация Взлом Печатные формы Деньги Фото Программы office 2007 Видео СМС оплата код защита Обзоры Альпинизм свертка торговли Экономика скачать конвертер office 2003-2007 вирус SMS Командная строка Армия Asus Eee Скачать 1С Вся jaws
23 февраля 2010

Вирус Win32/Qhost

Автор статьи: , 23 февраля 2010 в рубрике Вирусы и антивирусы. Метки: , , , . Просмотров: 12 939

В очередной раз со взломанной аськи товарища пришло спамерское сообщение:

никого не узнаёшь на этой фотке?  гг))
http://адрес сайта/img/foto015.jpg

1 Вирус Win32/Qhost

Предлагает скачать зараженный файл

Ну я ессно полез сразу же скачвать то, что предлагают.

Браузер предложил сохраниться файл

2 Вирус Win32/Qhost

Сохраняем вирус

Авторские права на предоставленный материал принадлежат автору сайта http://extremallife.ru

Смотрю свойства файла foto015.src:

Тип файла — заставка

размер — 79,5 кб

3 Вирус Win32/Qhost

Свойства foto015.src

Проверяю вирус с помощью он-лайн сервиса от Касперского — ничего, вирусов не найдено.

Запускаю. После запуска показалась порно — картинка и наконец — то закричал антивирус Eset Nod32 Smart Security.

5 Вирус Win32/Qhost

Nod 32 нашел вирус

И собака такая, пропустил этот вирус — открываю C:\Windows\system32\drivers\etc\hosts — а там уже прописаны строки:

127.0.0.1 www.rising.com.cn
127.0.0.1 csc.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 fw.rising.com.cn
127.0.0.1 safe.qq.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.xixiwg.com
127.0.0.1 www.592wg.com
127.0.0.1 qqtang.qq.com
127.0.0.1 www.wg592.cn
127.0.0.1 password.qq.com
127.0.0.1 pay.qq.com
127.0.0.1 account.qq.com
127.0.0.1 safe.qq.com
127.0.0.1 dl_dir.qq.com
127.0.0.1 im.qq.com
127.0.0.1 service.qq.com

Вычищаю эти строки, однако, после перезагрузки файл hosts восстанавливается.

Пробую пуск — выполнить — msconfig — Автозагрузка. И вижу какой-то подозрительный объект, под назаванием svcgoost.exe — отключаю, перезагружаюсь, вроде все ок.

6 Вирус Win32/Qhost

Подозрительный объект в автозагрузке

Проверяю комп с помощью CureIT

Находится вирус Trojan.PWS.LDPinch.1941 в файле Temp\exploreee.exe

7 Вирус Win32/Qhost

Trojan.PWS.LDPinch.1941 в файле Temp\exploreee.exe

Уж не знаю он это был или нет, но от вируса  Win32/Qhost избавился…




К записи "Вирус Win32/Qhost" 3 комментария

Только что свежую модификацию такой фигни выцарапывал :))
Фишинг одноклассников устраивает.

Ответить

Еще для информации
Вирус называется Trojan.Win32.Qhost.xmw. Живучая модель.

Ответить

У меня лежал в c:\Users\Пастухов\AppData\Local\Temp\eula.bat b вообще советую чистить темп периодически.

Ответить


Оставить комментарий

*

Блог программиста 1С. Программирование 1С
Если Вас что-то заинтересовало или возникли вопросы, пишите.
petr@evseev.ru
Skype - evseev_petr
ICQ - 262808698

Сохраните меня в социальных сервисах

Комментарии

Присоединяйтесь к обсуждению
  • Леха: Мало того, что это говно-антивирус требует .Net Framework не ниже 4.0, так он еще пожирает ресурсы компьютера,...
  • tommy: AVG равно еще хуже Касперского . Иди в жопу с ним
  • просто_чайник: Не люблю этот антивирус. Заметил такую особенность. Если обновить базы в начале работы, довольно часто...
  • Елена: Самое главное. Файл для совместной работы открыть нельзя! Если надо что-то отредактировать — только...
  • Виктор: Поставили мне на работе эту замечательную программку. Работать невозможно, ужасные тормоза. Стали...

Избранное видео

Ссылки