Решена лечение fixhost.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем mimik, 11 июн 2011.

Статус темы:
Закрыта.
  1. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    здравствуйте, помогите вылечить
     
  2. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    забыл
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      32,5 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      31,7 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      29,8 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      34,1 КБ
      Просмотров:
      0
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Прямо у Вас эпидемия:)

    Смотрю логи скоро отвечу

    Добавлено через 34 минуты 24 секунды
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
    C:\avz4\avz.exe

    Скопируйте следующий скрипт в блокнот и сохраните, как C:\script.txt

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Борис\application data\lsass.exe');
     QuarantineFile('SorryKamba.exe','');
     QuarantineFile('C:\Documents and Settings\Борис\Local Settings\Temp\{B7AA8400-4A7C-4FAB-BD7E-49240F0A7A6F}\NMSAccessU.exe','');
     QuarantineFile('C:\WINDOWS\alevir.exe','');
     QuarantineFile('C:\WINDOWS\brasil.exe','');
     QuarantineFile('C:\WINDOWS\instit.bat','');
     QuarantineFile('C:\WINDOWS\scrsvr.exe','');
     QuarantineFile('C:\WINDOWS\srv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\bride.exe','');
     QuarantineFile('c:\documents and settings\Борис\application data\lsass.exe','');
     QuarantineFile('C:\Documents and Settings\Борис\Application Data\timing.txt','');
     DeleteFile('c:\documents and settings\Борис\application data\lsass.exe');
     DeleteFile('C:\Documents and Settings\Борис\Application Data\timing.txt');
     DeleteFile('SorryKamba.exe');
     DeleteFile('C:\WINDOWS\alevir.exe');
     DeleteFile('C:\WINDOWS\brasil.exe');
     DeleteFile('C:\WINDOWS\instit.bat');
     DeleteFile('C:\WINDOWS\scrsvr.exe');
     DeleteFile('C:\WINDOWS\srv32.exe');
     DeleteFile('C:\WINDOWS\system32\bride.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    Скопируйте следующий текст в блокнот, сохраните на рабочем столе под любым именем с расширением .vbs

    Код (Text):
    set WshShell = WScript.CreateObject("WScript.Shell")
    WshShell.Run "taskkill /f /im Explorer.exe", 0
    WScript.Sleep 500
    WshShell.Run "C:\avz4\avz.exe AM=Y script=C:\script.txt"
    После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт. После окончания компьютер перезагрузится. После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Борис\Application Data\lsass.exe
    O1 - Hosts: 193.218.156.156 www.vkontakte.ru
    O1 - Hosts: 193.218.156.156 www.vk.com
    O1 - Hosts: 193.218.156.156 vkontakte.ru
    O1 - Hosts: 193.218.156.156 vk.com
    O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
    O1 - Hosts: 193.218.156.156 odnoklassniki.ru
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path7] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path4] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path3] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path2] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path] SorryKamba
    Внимание !!! База AVZ поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    Повторите логи AVZ и RSIT.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
    Последнее редактирование: 11 июн 2011
    1 человеку нравится это.
  4. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    после сохранения текста на рабочем столе при запуске пишет что не удается найти. пробовал много раз но так и не запустилось
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    В корень диска C: поместили файл script.txt и папку с АВЗ? Пути совпадают?
     
  6. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    да, все делал как написали
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Хорошо, тогда поступим по-другому: Скопируйте предложенный скрипт - Запустите диспетчер задач - Выгрузите explorer.exe - Если таких процессов несколько выгружайте все - Исчезнет рабочий стол - В диспетчере задач перейдите в меню Файл - Новая задача (Выполнить) - В появившемся окне нажмите кнопку Обзор - Найдите файл AVZ - Нажмите ОК - В строке после пути к файлу AVZ допишите через пробел AM=Y (например у меня сторока выглядит так: E:\portable\avz4\avz4\avz.exe AM=Y). Запустится AVZ без заголовка - В меню AVZ - Файл - Выполнить скрипт - Вставьте скопированный ранее скрипт и нажмите кнопку Запустить
     
    1 человеку нравится это.
  8. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    теперь появилась другая проблема при нажатии "выполнить скрипт" виснет авз
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  10. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    вот что получилось:
     

    Вложения:

    • ComboFix.rar
      Размер файла:
      4,2 КБ
      Просмотров:
      5
  11. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    mimik, в логе чисто. Что с проблемой?

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Сделайте новые логи AVZ и RSIT.
    Обновите базы в AVZ (Файл\Обновление баз)!!!

    Прикрепите лог полного сканирования MBAM.
     
    1 человеку нравится это.
  12. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Спасибо вам большое, проблема пока что вроде не проявляется.
     
Статус темы:
Закрыта.

Поделиться этой страницей