Троян Qhost.xfr

02.11.2011

Довольно неприятным "сюрпризом" является троян Qhost.xfr.

С виду всё просто: Касперский обнаруживает троян Trojan.Win32.Qhost.xfr, идентифицирует инфицированный файл C:\Windows\System32\drivers\etc\hosts и удаляет его.

Но проблемы на этом не кончаются: не открываются папки, путаются IP-адреса, короче, троян постоянными гадостями напоминает о своём присутствии.

При перезагрузке всё повторяется: Касперский удаляет, проблемы остаются.

Попытка переписать нормальный C:\Windows\System32\drivers\etc\hosts ничего не даёт. При перезагрузке его заменяет инфицированный файл, который затем удаляется Касперским, а симптомы остаются.

Полная проверка Касперским также ничего нового не даёт.

В процессе борьбы пришла идея: записать нормальный файл C:\Windows\System32\drivers\etc\hosts и в его свойствах задать: только для чтения.

При перезагрузке выдается предупреждение программой lsass.exe, которой видимо не нравится, что файл hosts защищён от удаления. Но сама по себе программа lsass.exe не инфицирована.

Работа наладилась, кроме сообщения программы lsass.exe при загрузке других неудобств не обнаружилось, хотя троян остался.

Комментарий

В свободное время пожалуй лучше переустановить систему, чтобы вычистить её от трояна, а пока сгодится такой обходной путь

Постоянный адрес статьи в Интернет: http://www.ispl.ru/Trojan_qhost_xfr.html

Ключевые слова: троян qhost.xfr, касперский, троян, qhost.xfr, qhost, trojan, hosts, обходной путь

Всё о безопасности
Главная
(C) Л.Точилов