Решена - fixhost.exe

Kukuruza · 4 дек 2011

здравствуйте, у меня появляется окно с ошибкой приложения fixhost.exe.
У меня 3 пользователя на компьютере и только на одном пользователе этот вирус, а я сейчас пишу с другого.
это virusinfo_syscure.zip http://webfile.ru/5707481
это hijackthis.log http://webfile.ru/5707482 .
Помогите пожалуйста.

oleg · 4 дек 2011

Сделайте логи с пользователя, на котором появляется данная ошибка.

Kukuruza · 4 дек 2011

ладно, сейчас.

Kukuruza · 4 дек 2011

http://webfile.ru/5707525 syscure http://webfile.ru/5707527 hijackthis

oleg · 4 дек 2011

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O4 - HKUS\S-1-5-21-1645522239-706699826-725345543-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Игорь')
5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

-

Kukuruza · 4 дек 2011

а вот выполнять это можно на любом пользователе или на "заражённом"?

oleg · 4 дек 2011

только

Kukuruza сказал(а): ↑

на "заражённом"?
Нажмите, чтобы раскрыть...

Kukuruza · 4 дек 2011

я выполнил скрипт и после перезагрузки окно ошибки не появилось, вот в hijackthis не было этих строчек R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

Kukuruza · 4 дек 2011

http://webfile.ru/5707580 http://webfile.ru/5707582

oleg · 4 дек 2011

Удалите в MBAM следующие строки:

Registry Keys Infected:
HKEY_CLASSES_ROOT\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0411B32B-E91D-4208-8913-9DB95BE806C3} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.ServerLayer.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.ServerLayer (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{C41FAEC8-6123-4F4D-8B1F-426AF5F9A59A} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{270860E2-0441-4BB9-9FE1-FAE0ECBB2E97} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.PluginCore.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.PluginCore (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{BC64691C-C3A7-4913-9301-6D323BC72B93} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{6515FF50-8533-49F9-B5A1-8839E9DF8E22} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72FA4765-9255-4C69-AB1F-23F78B3D94D6} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.RubarDealer.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.RubarDealer (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.Searcher.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.Searcher (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Value: {23DD83B5-BDDC-49CE-B77B-514819C6D551} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Value: {23DD83B5-BDDC-49CE-B77B-514819C6D551} -> No action taken.

Folders Infected:
c:\documents and settings\localservice\application data\rubar-toolbar (PUP.Rubar) -> No action taken.
c:\documents and settings\Евгений\application data\rubar-toolbar (PUP.Rubar) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\application data\rubar-toolbar (PUP.Rubar) -> No action taken.

Files Infected:
c:\program files\mediabar toolbar\rubar.dll (PUP.Rubar) -> No action taken.
c:\documents and settings\Евгений\application data\lsass.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Евгений\рабочий стол\duke_forever_plus3_trainer.exe (HackTool.GamesCheat.Gen) -> No action taken.
c:\documents and settings\Евгений\рабочий стол\iNS-mca.exe (HackTool.GamesCheat.Gen) -> No action taken.
c:\Temp\keygen.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\localservice\application data\rubar-toolbar\service.log.log (PUP.Rubar) -> No action taken.
c:\documents and settings\Евгений\application data\rubar-toolbar\broker.log.log (PUP.Rubar) -> No action taken.
c:\documents and settings\Евгений\application data\rubar-toolbar\msihelper.log.log (PUP.Rubar) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\application data\rubar-toolbar\broker.log.log (PUP.Rubar) -> No action taken.
Нажмите, чтобы раскрыть...

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено. -

Войти или зарегистрироваться

Решена - fixhost.exe

Kukuruza Junior User

oleg Expert Вирусоборец

Kukuruza Junior User

Kukuruza Junior User

oleg Expert Вирусоборец

Kukuruza Junior User

oleg Expert Вирусоборец

Kukuruza Junior User

Kukuruza Junior User

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

Решена - fixhost.exe

Kukuruza Junior User

oleg Expert Вирусоборец

Kukuruza Junior User

Kukuruza Junior User

oleg Expert Вирусоборец

Kukuruza Junior User

oleg Expert Вирусоборец

Kukuruza Junior User

Kukuruza Junior User

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск