Решена fixhosts.exe ошибка приложения

[Fiorellino]

Здравствуйте! Помогите,пожалуйста!
Fixhosts постоянно запускается, все зависает. До того как нашла ваш форум, вручную удалила fixhosts-(длинный набор цифр и букв).exe и Avast засек Tq802wFbzeA.exe, его тоже удалила.


Во время выполнения скрипта №3 комп периодически зависал, я отключала fixhosts через диспетчер задач. А после завершения работы AVZ обратила внимание, что Explorer и Chrom открыты,а Firefox (через кот. я и словила вирус) закрылся сам.



Буду очень признательна за любую помощь!

 

[Ботан]

Приветствую Fiorellino, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.​

 

[S.R]

Здравствуйте,
сейчас посмотрим.

Добавлено через 9 минут 3 секунды
Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('C:\plg.txt','');
 QuarantineFileF('C:\1cVYEjRIEaxfonA', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA', '*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\Лиса\Local Settings\Temp\~DFF296.tmp','');
 QuarantineFile('C:\WINDOWS\system32\17.tmp','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\WINDOWS\system32\17.tmp');
 DeleteFile('C:\Documents and Settings\Лиса\Local Settings\Temp\~DFF296.tmp');
 DeleteService('MEMSWEEP2');
 DeleteFileMask('C:\1cVYEjRIEaxfonA', '*', true);
 DeleteFileMask('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA', '*', true);
 DeleteDirectory('C:\1cVYEjRIEaxfonA');
 DeleteDirectory('C:\Documents and Settings\Лиса\Application Data\1cVYEjRIEaxfonA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
• Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
• После сканирования откроется лог. Сохраните его и прикрепите к сообщению.

Смените все пароли!!!


Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.

• SecurityCheck.exe
• SecurityCheck.exe

Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.

 

[Fiorellino]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
Смените все пароли!!!

Я добралась до этого места. Логи прикрепляю.
fixhosts.exe постоянно запускается и программы зависают, до тех пор пока не закрываю fixhosts через диспетчер.

А где нужно сменить пароли? В соцсетях? Я попробовала,но там при смене просят прислать смс с кодом. Это же развод, значит вирус еще не удалился? Что мне делать, двигаться дальше по пунктам без смены паролей?
Спасибо!

 

[Severnyj]

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.exe','');
 QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.sys','');
 QuarantineFile('C:\Documents and Settings\Лиса\Главное меню\Программы\Автозагрузка\AdobeUpdate.lnk','');
 QuarantineFile('C:\Documents and Settings\Лиса\Local Settings\Temp\is-4OEHS.tmp\dealio.exe','');
 QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('C:\Documents and Settings\Лиса\Local Settings\Temp\is-4OEHS.tmp\dealio.exe');
 DeleteFile('C:\Documents and Settings\Лиса\Главное меню\Программы\Автозагрузка\AdobeUpdate.lnk');
 DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
 DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.exe');
 DelBHO('{E312764E-7706-43F1-8DAB-FCDD2B1E416D}');
 DelBHO('{468CD8A9-7C25-45FA-969E-3D925C689DC4}');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\StimulProfit');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','spyprodetector');
 DeleteService('spydetector');
 DeleteFileMask('C:\Program Files\Spyware Process Detector\', '*.*', true);
 DeleteDirectory('C:\Program Files\Spyware Process Detector\');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O1 - Hosts: 95.156.222.17 odnoklassniki.ru
O1 - Hosts: 95.156.222.17 www.facebook.com
O1 - Hosts: 95.156.222.17 www.twitter.com
O1 - Hosts: 95.156.222.17 vkontakte.ru
O1 - Hosts: 95.156.222.17 ru-ru.facebook.com
O1 - Hosts: 95.156.222.17 www.odnoklassniki.ru
O1 - Hosts: 95.156.222.17 vk.com
O1 - Hosts: 95.156.222.17 www.vkontakte.ru
O1 - Hosts: 95.156.222.17 www.vk.com
O1 - Hosts: 95.156.222.17 facebook.com
O1 - Hosts: 95.156.222.17 twitter.com
O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

[akok]

В карантине Trojan.Carberp.30 (Trojan.Script.Carberp.a)

 

[Fiorellino]

Я не нашла таких строк в HJT. Только R3, но цифры там другие.Ставить там галочки? Что мне делать с другими строчками?

Я вложила сохраненный лог, посмотрите, пожалуйста.

P.S. лог SecurityCheck тоже вложила.

 

[Fiorellino]

Логи TDSSkiller, почему-то их сохранилось два.

 

[Severnyj]

Пофиксите только эту строку:

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

Java(TM) 6 Update 26 Java version out of date!
Adobe Reader 9 Adobe Reader out of date!

Обновите эти программы

http://www.java.com/ru/download/faq/remove_olderversions.xml
http://get.adobe.com/reader/otherversions/

Добавлено через 6 минут 44 секунды
Во втором карантине:

AdobeUpdate.lnk - Trojan.Hosts.5587

 

[Fiorellino]

Все сделала как Вы написали. У меня два вопроса:

1. Malwarebytes Anti-Malware запускается автоматически, а у меня установлен Avast. Они совместимы?

2. Что делать с троянами, которые Вы указали выше? Просто оставить в карантине?

 

[Severnyj]

MBAM деинсталлируйте.
Трояны в карантине и более не опасны.
Что с проблемами системы?

 

[Fiorellino]

Комп больше не зависает, в диспетчере fixhosts тоже не появляется. Спасибо Вам огромное!!!

 

[akok]

Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.

 

[Fiorellino]

Залила

 

[akok]

Спасибо.