• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена fixhosts.exe ошибка приложения

Статус
В этой теме нельзя размещать новые ответы.

Fiorellino

Активный пользователь
Сообщения
7
Реакции
0
Баллы
381
Здравствуйте! Помогите,пожалуйста!
Fixhosts постоянно запускается, все зависает. До того как нашла ваш форум, вручную удалила fixhosts-(длинный набор цифр и букв).exe и Avast засек Tq802wFbzeA.exe, его тоже удалила.


Во время выполнения скрипта №3 комп периодически зависал, я отключала fixhosts через диспетчер задач. А после завершения работы AVZ обратила внимание, что Explorer и Chrom открыты,а Firefox (через кот. я и словила вирус) закрылся сам.



Буду очень признательна за любую помощь!
 

Вложения

  • virusinfo_syscure.zip
    27.8 KB · Просмотры: 6
  • virusinfo_syscheck.zip
    25.9 KB · Просмотры: 0
  • info.txt
    183.9 KB · Просмотры: 1
  • log.txt
    39.9 KB · Просмотры: 5

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Fiorellino, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
453
Здравствуйте,
сейчас посмотрим.

Добавлено через 9 минут 3 секунды
Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('C:\plg.txt','');
 QuarantineFileF('C:\1cVYEjRIEaxfonA', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA', '*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\Лиса\Local Settings\Temp\~DFF296.tmp','');
 QuarantineFile('C:\WINDOWS\system32\17.tmp','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\WINDOWS\system32\17.tmp');
 DeleteFile('C:\Documents and Settings\Лиса\Local Settings\Temp\~DFF296.tmp');
 DeleteService('MEMSWEEP2');
 DeleteFileMask('C:\1cVYEjRIEaxfonA', '*', true);
 DeleteFileMask('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA', '*', true);
 DeleteDirectory('C:\1cVYEjRIEaxfonA');
 DeleteDirectory('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
  • После сканирования откроется лог. Сохраните его и прикрепите к сообщению.

Смените все пароли!!!


Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.
Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
 

Fiorellino

Активный пользователь
Сообщения
7
Реакции
0
Баллы
381
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
Смените все пароли!!!

Я добралась до этого места. Логи прикрепляю.
fixhosts.exe постоянно запускается и программы зависают, до тех пор пока не закрываю fixhosts через диспетчер.

А где нужно сменить пароли? В соцсетях? Я попробовала,но там при смене просят прислать смс с кодом. Это же развод, значит вирус еще не удалился? Что мне делать, двигаться дальше по пунктам без смены паролей?
Спасибо!
 

Вложения

  • log.txt
    40.3 KB · Просмотры: 5
  • info.txt
    183.9 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    26.9 KB · Просмотры: 0
  • virusinfo_syscure.zip
    27.5 KB · Просмотры: 3
  • mbam-log-2012-03-03 (21-10-11).txt
    3.5 KB · Просмотры: 7

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.exe','');
 QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
 QuarantineFile('C:\Documents and Settings\Лиса\Главное меню\Программы\Автозагрузка\AdobeUpdate.lnk','');
 QuarantineFile('C:\Documents and Settings\Лиса\Local Settings\Temp\is-4OEHS.tmp\dealio.exe','');
 QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('C:\Documents and Settings\Лиса\Local Settings\Temp\is-4OEHS.tmp\dealio.exe');
 DeleteFile('C:\Documents and Settings\Лиса\Главное меню\Программы\Автозагрузка\AdobeUpdate.lnk');
 DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
 DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.exe');
 DelBHO('{E312764E-7706-43F1-8DAB-FCDD2B1E416D}');
 DelBHO('{468CD8A9-7C25-45FA-969E-3D925C689DC4}');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\StimulProfit');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','spyprodetector');
 DeleteService('spydetector');
 DeleteFileMask('C:\Program Files\Spyware Process Detector\', '*.*', true);
 DeleteDirectory('C:\Program Files\Spyware Process Detector\');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O1 - Hosts: 95.156.222.17 odnoklassniki.ru
O1 - Hosts: 95.156.222.17 www.facebook.com
O1 - Hosts: 95.156.222.17 www.twitter.com
O1 - Hosts: 95.156.222.17 vkontakte.ru
O1 - Hosts: 95.156.222.17 ru-ru.facebook.com
O1 - Hosts: 95.156.222.17 www.odnoklassniki.ru
O1 - Hosts: 95.156.222.17 vk.com
O1 - Hosts: 95.156.222.17 www.vkontakte.ru
O1 - Hosts: 95.156.222.17 www.vk.com
O1 - Hosts: 95.156.222.17 facebook.com
O1 - Hosts: 95.156.222.17 twitter.com
O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc ([email protected]), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
В карантине Trojan.Carberp.30 (Trojan.Script.Carberp.a)
 

Fiorellino

Активный пользователь
Сообщения
7
Реакции
0
Баллы
381
Я не нашла таких строк в HJT. Только R3, но цифры там другие.Ставить там галочки? Что мне делать с другими строчками?

Я вложила сохраненный лог, посмотрите, пожалуйста.

P.S. лог SecurityCheck тоже вложила.
 

Вложения

  • checkup.txt
    1.1 KB · Просмотры: 2
  • hijackthis.log
    12.5 KB · Просмотры: 1

Fiorellino

Активный пользователь
Сообщения
7
Реакции
0
Баллы
381
Логи TDSSkiller, почему-то их сохранилось два.
 

Вложения

  • TDSSKiller.2.7.18.0_04.03.2012_22.18.55_log.txt
    4.8 KB · Просмотры: 3
  • TDSSKiller.2.7.18.0_04.03.2012_22.25.54_log.txt
    49.5 KB · Просмотры: 4

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Пофиксите только эту строку:

Код:
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

Java(TM) 6 Update 26 Java version out of date!
Adobe Reader 9 Adobe Reader out of date!

Обновите эти программы

http://www.java.com/ru/download/faq/remove_olderversions.xml
http://get.adobe.com/reader/otherversions/

Добавлено через 6 минут 44 секунды
Во втором карантине:

AdobeUpdate.lnk - Trojan.Hosts.5587
 

Fiorellino

Активный пользователь
Сообщения
7
Реакции
0
Баллы
381
Все сделала как Вы написали. У меня два вопроса:

1. Malwarebytes Anti-Malware запускается автоматически, а у меня установлен Avast. Они совместимы?

2. Что делать с троянами, которые Вы указали выше? Просто оставить в карантине?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
MBAM деинсталлируйте.
Трояны в карантине и более не опасны.
Что с проблемами системы?
 

Fiorellino

Активный пользователь
Сообщения
7
Реакции
0
Баллы
381
Комп больше не зависает, в диспетчере fixhosts тоже не появляется. Спасибо Вам огромное!!!
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

akok

Команда форума
Администратор
Сообщения
19,421
Реакции
13,386
Баллы
2,203
Спасибо.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу