Решена - Выдает ошибку "fixhosts.exe". Сбой в работе системы

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем MurIK, 16 ноя 2011.

  1. MurIK

    MurIK Junior User

    Выдает ошибку "fixhosts.exe". Сбои в работе системы.
    Как решить данную проблему? Заранее благодарен!
    Прилагаю ссылки на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip и hijackthis.log).
    Выполнил все согласно Вашей инструкции.
    ссылки на логи:
    http://webfile.ru/5672028
    http://webfile.ru/5672030
     
    Последнее редактирование модератором: 17 ноя 2011
  2. oleg

    oleg Expert Вирусоборец

    Анализирую, wait..
     
  3. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/фаервол.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически  закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера  подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\documents and settings\bugalter1\application data\lsass.exe');
     DeleteFile('c:\documents and settings\bugalter1\application data\lsass.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Windows\afltndz.exe');
     DeleteFile('D:\autorun.inf');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\bugalter1\Application Data\lsass.exe
    O1 - Hosts: 31.214.145.162 www.vkontakte.ru
    O1 - Hosts: 31.214.145.162 www.vk.com
    O1 - Hosts: 31.214.145.162 vkontakte.ru
    O1 - Hosts: 31.214.145.162 vk.com
    O1 - Hosts: 31.214.145.162 www.odnoklassniki.ru
    O1 - Hosts: 31.214.145.162 odnoklassniki.ru
    O14 - IERESET.INF: START_PAGE_URL=http://www.rambler.ru/ie8
    
    5. Сделайте новые логи AVZ.

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
    Внимание: если скрипт из пункта 3 выполнить не получается по причине зависания или закрытия утилиты AVZ, то выполните следующее:

    Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок


    Закройте все программы,отключите антивирус/фаервол и прочее защитное ПО и запустите программу.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

    Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

    Не перезагружая компьютер, выполните пункт 3.
    После перезагрузки выполните остальные пункты.
     
  4. MurIK

    MurIK Junior User

    Скачал RKill by Grinler, т.к. AVZ завис.
    Запустил rkill, вот ссылка на лог:
    http://webfile.ru/5672153
     
  5. MurIK

    MurIK Junior User

    выполнить пункт 3 все равно не получается (компьютер не перезагружал как в инструкции), т.к. AVZ все равно зависает (не получается скопировать протокол в окно программы)
     
  6. Nod

    Nod Moderator

    Что значит "не получается скопировать" ? Выполните по порядку:
    1. Сейчас, перезагрузите компьютер.
    2. Запустите RKill
    3. Не перезагружая (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Скопировать скрипт у вас получается? (выделить все строки и нажать CTRL+C), далее в окне введения скрипта AVZ нажмите CTRL+V
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически  закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера  подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\documents and settings\bugalter1\application data\lsass.exe');
     DeleteFile('c:\documents and settings\bugalter1\application data\lsass.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Windows\afltndz.exe');
     DeleteFile('D:\autorun.inf');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
     
  7. MurIK

    MurIK Junior User

    Перезагрузил, запустил RKIll, запускаю AVZ, копирую строки протокола, затем в окне введения в AVZ не получается вставить.
    Мигает курсор, однако не получается ни вставить текст, ни набрать его самому.
     
  8. MurIK

    MurIK Junior User

    Получилось выполнить пункт 3! Сейчас попробую дальше по инструкции пойти...
     
  9. MurIK

    MurIK Junior User

    профиксил строки в HiJackThis отсутствовали следующие строки:

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\bugalter1\Application Data\lsass.exe
    O1 - Hosts: 31.214.145.162 www.vkontakte.ru
    O1 - Hosts: 31.214.145.162 www.vk.com
    O1 - Hosts: 31.214.145.162 vkontakte.ru
    O1 - Hosts: 31.214.145.162 vk.com
    O1 - Hosts: 31.214.145.162 www.odnoklassniki.ru
    O1 - Hosts: 31.214.145.162 odnoklassniki.ru
     
  10. oleg

    oleg Expert Вирусоборец

    Отлично! Осталось выполнить пункты 5 и 6 и отписать о статусе проблемы.
     
  11. MurIK

    MurIK Junior User

  12. oleg

    oleg Expert Вирусоборец

    Удалите в MBAM следующие строки:

    Если проблема решена, лечение завершено.
     
  13. MurIK

    MurIK Junior User

    Спасибо огромное) все работает.
     
  14. MurIK

    MurIK Junior User

    А у меня еще такой вопрос: если у меня установлен MBAM - то есть это и есть альтернатива анти-вируса? и получается надо удалить установленный ранее Avast? или они могут работать совместно?
     
  15. oleg

    oleg Expert Вирусоборец

    Нет, альтернативой это не является, удалите MBAM в обязательном порядке.
    Рекомендую используйте продукты более известных брендов, таких как: Антивирус Касперского, AVG, NOD32, Symantec.
     
  16. MurIK

    MurIK Junior User

    Ясно, спасибо еще раз
     
  17. oleg

    oleg Expert Вирусоборец

    Пожалуйста, обращайтесь.

    -
     
    Последнее редактирование: 17 ноя 2011

Поделиться этой страницей