Решена fixhosts.exe ошибка приложения

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Fiorellino, 2 мар 2012.

Статус темы:
Закрыта.
  1. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
    Здравствуйте! Помогите,пожалуйста!
    Fixhosts постоянно запускается, все зависает. До того как нашла ваш форум, вручную удалила fixhosts-(длинный набор цифр и букв).exe и Avast засек Tq802wFbzeA.exe, его тоже удалила.


    Во время выполнения скрипта №3 комп периодически зависал, я отключала fixhosts через диспетчер задач. А после завершения работы AVZ обратила внимание, что Explorer и Chrom открыты,а Firefox (через кот. я и словила вирус) закрылся сам.



    Буду очень признательна за любую помощь!
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      27,8 КБ
      Просмотров:
      6
    • virusinfo_syscheck.zip
      Размер файла:
      25,9 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      183,9 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      39,9 КБ
      Просмотров:
      5
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Fiorellino, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Здравствуйте,
    сейчас посмотрим.

    Добавлено через 9 минут 3 секунды
    Отключите
    Антивирус/Файерволл

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     QuarantineFile('C:\plg.txt','');
     QuarantineFileF('C:\1cVYEjRIEaxfonA', '*', true, '', 0, 0);
     QuarantineFileF('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA', '*', true, '', 0, 0);
     QuarantineFile('C:\Documents and Settings\Лиса\Local Settings\Temp\~DFF296.tmp','');
     QuarantineFile('C:\WINDOWS\system32\17.tmp','');
     DeleteFile('C:\plg.txt');
     DeleteFile('C:\WINDOWS\system32\17.tmp');
     DeleteFile('C:\Documents and Settings\Лиса\Local Settings\Temp\~DFF296.tmp');
     DeleteService('MEMSWEEP2');
     DeleteFileMask('C:\1cVYEjRIEaxfonA', '*', true);
     DeleteFileMask('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA', '*', true);
     DeleteDirectory('C:\1cVYEjRIEaxfonA');
     DeleteDirectory('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    ПК перезагрузится. Выполните скрипт в AVZ
    Код (Text):

    begin
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
     
    Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

    Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
    • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
    • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
    • После сканирования откроется лог. Сохраните его и прикрепите к сообщению.

    Смените все пароли!!!


    Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.
    Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
    Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
     
    1 человеку нравится это.
  4. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
    Я добралась до этого места. Логи прикрепляю.
    fixhosts.exe постоянно запускается и программы зависают, до тех пор пока не закрываю fixhosts через диспетчер.

    А где нужно сменить пароли? В соцсетях? Я попробовала,но там при смене просят прислать смс с кодом. Это же развод, значит вирус еще не удалился? Что мне делать, двигаться дальше по пунктам без смены паролей?
    Спасибо!
     

    Вложения:

  5. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.exe','');
     QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
     QuarantineFile('C:\Documents and Settings\Лиса\Главное меню\Программы\Автозагрузка\AdobeUpdate.lnk','');
     QuarantineFile('C:\Documents and Settings\Лиса\Local Settings\Temp\is-4OEHS.tmp\dealio.exe','');
     QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
     DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
     DeleteFile('C:\Documents and Settings\Лиса\Local Settings\Temp\is-4OEHS.tmp\dealio.exe');
     DeleteFile('C:\Documents and Settings\Лиса\Главное меню\Программы\Автозагрузка\AdobeUpdate.lnk');
     DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
     DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.exe');
     DelBHO('{E312764E-7706-43F1-8DAB-FCDD2B1E416D}');
     DelBHO('{468CD8A9-7C25-45FA-969E-3D925C689DC4}');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\StimulProfit');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','spyprodetector');
     DeleteService('spydetector');
     DeleteFileMask('C:\Program Files\Spyware Process Detector\', '*.*', true);
     DeleteDirectory('C:\Program Files\Spyware Process Detector\');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
    R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
    O1 - Hosts: 95.156.222.17 odnoklassniki.ru
    O1 - Hosts: 95.156.222.17 www.facebook.com
    O1 - Hosts: 95.156.222.17 www.twitter.com
    O1 - Hosts: 95.156.222.17 vkontakte.ru
    O1 - Hosts: 95.156.222.17 ru-ru.facebook.com
    O1 - Hosts: 95.156.222.17 www.odnoklassniki.ru
    O1 - Hosts: 95.156.222.17 vk.com
    O1 - Hosts: 95.156.222.17 www.vkontakte.ru
    O1 - Hosts: 95.156.222.17 www.vk.com
    O1 - Hosts: 95.156.222.17 facebook.com
    O1 - Hosts: 95.156.222.17 twitter.com
    O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код (Text):
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
     
    1 человеку нравится это.
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    В карантине Trojan.Carberp.30 (Trojan.Script.Carberp.a)
     
  7. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
    Я не нашла таких строк в HJT. Только R3, но цифры там другие.Ставить там галочки? Что мне делать с другими строчками?

    Я вложила сохраненный лог, посмотрите, пожалуйста.

    P.S. лог SecurityCheck тоже вложила.
     

    Вложения:

    • checkup.txt
      Размер файла:
      1,1 КБ
      Просмотров:
      2
    • hijackthis.log
      Размер файла:
      12,5 КБ
      Просмотров:
      1
  8. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
    Логи TDSSkiller, почему-то их сохранилось два.
     

    Вложения:

  9. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Пофиксите только эту строку:

    Код (Text):
    R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
    Обновите эти программы

    http://www.java.com/ru/download/faq/remove_olderversions.xml
    http://get.adobe.com/reader/otherversions/

    Добавлено через 6 минут 44 секунды
    Во втором карантине:

    AdobeUpdate.lnk - Trojan.Hosts.5587
     
  10. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
    Все сделала как Вы написали. У меня два вопроса:

    1. Malwarebytes Anti-Malware запускается автоматически, а у меня установлен Avast. Они совместимы?

    2. Что делать с троянами, которые Вы указали выше? Просто оставить в карантине?
     
  11. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    MBAM деинсталлируйте.
    Трояны в карантине и более не опасны.
    Что с проблемами системы?
     
  12. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
    Комп больше не зависает, в диспетчере fixhosts тоже не появляется. Спасибо Вам огромное!!!
     
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Выполните: Рекомендации после лечения


    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
     
  14. Fiorellino
    Оффлайн

    Fiorellino Пользователь

    Сообщения:
    7
    Симпатии:
    0
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Спасибо.
     
Статус темы:
Закрыта.

Поделиться этой страницей