• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена лечение fixhost.exe

Статус
В этой теме нельзя размещать новые ответы.

mimik

Активный пользователь
Сообщения
7
Симпатии
0
#1
здравствуйте, помогите вылечить
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,385
Симпатии
8,713
#3
Прямо у Вас эпидемия:)

Смотрю логи скоро отвечу

Добавлено через 34 минуты 24 секунды
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
C:\avz4\avz.exe

Скопируйте следующий скрипт в блокнот и сохраните, как C:\script.txt

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Борис\application data\lsass.exe');
 QuarantineFile('SorryKamba.exe','');
 QuarantineFile('C:\Documents and Settings\Борис\Local Settings\Temp\{B7AA8400-4A7C-4FAB-BD7E-49240F0A7A6F}\NMSAccessU.exe','');
 QuarantineFile('C:\WINDOWS\alevir.exe','');
 QuarantineFile('C:\WINDOWS\brasil.exe','');
 QuarantineFile('C:\WINDOWS\instit.bat','');
 QuarantineFile('C:\WINDOWS\scrsvr.exe','');
 QuarantineFile('C:\WINDOWS\srv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\bride.exe','');
 QuarantineFile('c:\documents and settings\Борис\application data\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\Борис\Application Data\timing.txt','');
 DeleteFile('c:\documents and settings\Борис\application data\lsass.exe');
 DeleteFile('C:\Documents and Settings\Борис\Application Data\timing.txt');
 DeleteFile('SorryKamba.exe');
 DeleteFile('C:\WINDOWS\alevir.exe');
 DeleteFile('C:\WINDOWS\brasil.exe');
 DeleteFile('C:\WINDOWS\instit.bat');
 DeleteFile('C:\WINDOWS\scrsvr.exe');
 DeleteFile('C:\WINDOWS\srv32.exe');
 DeleteFile('C:\WINDOWS\system32\bride.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.
Скопируйте следующий текст в блокнот, сохраните на рабочем столе под любым именем с расширением .vbs

Код:
set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Explorer.exe", 0
WScript.Sleep 500
WshShell.Run "C:\avz4\avz.exe AM=Y script=C:\script.txt"
После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт. После окончания компьютер перезагрузится. После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Борис\Application Data\lsass.exe
O1 - Hosts: 193.218.156.156 www.vkontakte.ru
O1 - Hosts: 193.218.156.156 www.vk.com
O1 - Hosts: 193.218.156.156 vkontakte.ru
O1 - Hosts: 193.218.156.156 vk.com
O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.156 odnoklassniki.ru
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path7] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path4] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path3] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path2] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path] SorryKamba
Внимание !!! База AVZ поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
Последнее редактирование:

mimik

Активный пользователь
Сообщения
7
Симпатии
0
#4
после сохранения текста на рабочем столе при запуске пишет что не удается найти. пробовал много раз но так и не запустилось
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,385
Симпатии
8,713
#5
после сохранения текста на рабочем столе при запуске пишет что не удается найти. пробовал много раз но так и не запустилось
В корень диска C: поместили файл script.txt и папку с АВЗ? Пути совпадают?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,385
Симпатии
8,713
#7
Хорошо, тогда поступим по-другому: Скопируйте предложенный скрипт - Запустите диспетчер задач - Выгрузите explorer.exe - Если таких процессов несколько выгружайте все - Исчезнет рабочий стол - В диспетчере задач перейдите в меню Файл - Новая задача (Выполнить) - В появившемся окне нажмите кнопку Обзор - Найдите файл AVZ - Нажмите ОК - В строке после пути к файлу AVZ допишите через пробел AM=Y (например у меня сторока выглядит так: E:\portable\avz4\avz4\avz.exe AM=Y). Запустится AVZ без заголовка - В меню AVZ - Файл - Выполнить скрипт - Вставьте скопированный ранее скрипт и нажмите кнопку Запустить
 

mimik

Активный пользователь
Сообщения
7
Симпатии
0
#8
теперь появилась другая проблема при нажатии "выполнить скрипт" виснет авз
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,385
Симпатии
8,713
#9
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

mimik

Активный пользователь
Сообщения
7
Симпатии
0
#10
вот что получилось:
 

Вложения

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
#11
mimik, в логе чисто. Что с проблемой?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Сделайте новые логи AVZ и RSIT.
Обновите базы в AVZ (Файл\Обновление баз)!!!

Прикрепите лог полного сканирования MBAM.
 

mimik

Активный пользователь
Сообщения
7
Симпатии
0
#12
Спасибо вам большое, проблема пока что вроде не проявляется.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу