1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена лечение fixhost.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем mimik, 11 июн 2011.

Статус темы:
Закрыта.
  1. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    здравствуйте, помогите вылечить
     
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    забыл
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      32,5 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      31,7 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      29,8 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      34,1 КБ
      Просмотров:
      0
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Прямо у Вас эпидемия:)

    Смотрю логи скоро отвечу

    Добавлено через 34 минуты 24 секунды
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
    C:\avz4\avz.exe

    Скопируйте следующий скрипт в блокнот и сохраните, как C:\script.txt

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Борис\application data\lsass.exe');
     QuarantineFile('SorryKamba.exe','');
     QuarantineFile('C:\Documents and Settings\Борис\Local Settings\Temp\{B7AA8400-4A7C-4FAB-BD7E-49240F0A7A6F}\NMSAccessU.exe','');
     QuarantineFile('C:\WINDOWS\alevir.exe','');
     QuarantineFile('C:\WINDOWS\brasil.exe','');
     QuarantineFile('C:\WINDOWS\instit.bat','');
     QuarantineFile('C:\WINDOWS\scrsvr.exe','');
     QuarantineFile('C:\WINDOWS\srv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\bride.exe','');
     QuarantineFile('c:\documents and settings\Борис\application data\lsass.exe','');
     QuarantineFile('C:\Documents and Settings\Борис\Application Data\timing.txt','');
     DeleteFile('c:\documents and settings\Борис\application data\lsass.exe');
     DeleteFile('C:\Documents and Settings\Борис\Application Data\timing.txt');
     DeleteFile('SorryKamba.exe');
     DeleteFile('C:\WINDOWS\alevir.exe');
     DeleteFile('C:\WINDOWS\brasil.exe');
     DeleteFile('C:\WINDOWS\instit.bat');
     DeleteFile('C:\WINDOWS\scrsvr.exe');
     DeleteFile('C:\WINDOWS\srv32.exe');
     DeleteFile('C:\WINDOWS\system32\bride.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    Скопируйте следующий текст в блокнот, сохраните на рабочем столе под любым именем с расширением .vbs

    Код (Text):
    set WshShell = WScript.CreateObject("WScript.Shell")
    WshShell.Run "taskkill /f /im Explorer.exe", 0
    WScript.Sleep 500
    WshShell.Run "C:\avz4\avz.exe AM=Y script=C:\script.txt"
    После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт. После окончания компьютер перезагрузится. После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Борис\Application Data\lsass.exe
    O1 - Hosts: 193.218.156.156 www.vkontakte.ru
    O1 - Hosts: 193.218.156.156 www.vk.com
    O1 - Hosts: 193.218.156.156 vkontakte.ru
    O1 - Hosts: 193.218.156.156 vk.com
    O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
    O1 - Hosts: 193.218.156.156 odnoklassniki.ru
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path7] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path4] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path3] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path2] SorryKamba
    O4 - HKLM\..\Policies\Explorer\Run: [KM_Path] SorryKamba
    Внимание !!! База AVZ поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    Повторите логи AVZ и RSIT.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
    Последнее редактирование: 11 июн 2011
    1 человеку нравится это.
  5. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    после сохранения текста на рабочем столе при запуске пишет что не удается найти. пробовал много раз но так и не запустилось
     
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    В корень диска C: поместили файл script.txt и папку с АВЗ? Пути совпадают?
     
  7. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    да, все делал как написали
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Хорошо, тогда поступим по-другому: Скопируйте предложенный скрипт - Запустите диспетчер задач - Выгрузите explorer.exe - Если таких процессов несколько выгружайте все - Исчезнет рабочий стол - В диспетчере задач перейдите в меню Файл - Новая задача (Выполнить) - В появившемся окне нажмите кнопку Обзор - Найдите файл AVZ - Нажмите ОК - В строке после пути к файлу AVZ допишите через пробел AM=Y (например у меня сторока выглядит так: E:\portable\avz4\avz4\avz.exe AM=Y). Запустится AVZ без заголовка - В меню AVZ - Файл - Выполнить скрипт - Вставьте скопированный ранее скрипт и нажмите кнопку Запустить
     
    1 человеку нравится это.
  9. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    теперь появилась другая проблема при нажатии "выполнить скрипт" виснет авз
     
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.469
    Симпатии:
    9.188
    Баллы:
    663
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  11. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    вот что получилось:
     

    Вложения:

    • ComboFix.rar
      Размер файла:
      4,2 КБ
      Просмотров:
      5
  12. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Баллы:
    293
    mimik, в логе чисто. Что с проблемой?

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Сделайте новые логи AVZ и RSIT.
    Обновите базы в AVZ (Файл\Обновление баз)!!!

    Прикрепите лог полного сканирования MBAM.
     
    1 человеку нравится это.
  13. mimik
    Оффлайн

    mimik Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Баллы:
    171
    Спасибо вам большое, проблема пока что вроде не проявляется.
     
Статус темы:
Закрыта.

Поделиться этой страницей