Решена - Ошибка приложения - Fixhosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Janet, 2 май 2011.

Статус темы:
Закрыта.
  1. Janet

    Janet Junior User

    Проблема с вирусом FIXHOSTS.EXE, как и у многих...

    http://http://exfile.ru/173732 - virusinfo_syscure.zip

    http://http://exfile.ru/173735 - virusinfo_syscheck.zip

    http://http://exfile.ru/173733 - hijackthis.log

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили всплывающее окно с ошибкой:
    Fixhosts.exe - обнаружена ошибка. Приложение будет закрыто.

    1. Сделайте Логи как показано в -
    2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     
    Последнее редактирование модератором: 9 май 2011
  2. Nod

    Nod Moderator

    Обрабатываю.
     
  3. Nod

    Nod Moderator

    1. Скачайте CureIT и проверьте компьютер на вирусы.

    2. Удалите временные файлы с помощью ATF Cleaner, запустите его, поставьте галочку напротив Select All и нажмите Empty Selected.

    3. Пофиксите в hijackthis следующие строки:

    Код:
    F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio -  {8E718888-423F-11D2-876E-00A0C9082467} - C:\Documents and  Settings\Женька\Рабочий стол\No1 Video  Converter\msdxm.ocx (file missing)
    O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
    O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
    
    4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.)

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    ClearHostsFile;
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,'); 
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
    TerminateProcessByName('c:\program files\common files\spigot\search settings\searchsettings.exe');
    TerminateProcessByName('c:\program files\common files\service share\isass.exe');
    DelBHO('{8E718888-423F-11D2-876E-00A0C9082467}');
    DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
    DeleteService('FXDrv32');
    SetServiceStart('FXDrv32', 4);
    DeleteFile('D:\FXDrv32.sys');
    DeleteFile('C:\Documents and Settings\Женька\Рабочий стол\No1 Video Converter\msdxm.ocx');
    DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
    DeleteFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll');
    DeleteFile('C:\Program Files\Common Files\Spigot\search settings\searchsettings.exe');
    DeleteFile('C:\Program Files\Common Files\Program Shared\isass.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    После выполнения скрипта компьютер перезагрузиться.
    Выполните в AVZ Стандартный скрипт №2 и дайте ссылку на архив virusinfo_syscheck.zip в следующем сообщении.

    5. Cделайте лог MBAM и дайте ссылку на файл-лога.
     
    Последнее редактирование: 2 май 2011
  4. Janet

    Janet Junior User

    У меня в Hijackthis нет строчки
    F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Program Shared\Isass.exe
    Пофиксить без нее или как?
     
  5. Nod

    Nod Moderator

    Вы видимо сначала выполнили скрипт в AVZ, а теперь пытаетесь пофиксить в hijackthis ? - в этом случае пофиксите без этой строчки.
     
  6. Janet

    Janet Junior User

    нет, скрипт я не выполняла, сначала hijackthis запустила, чтобы пофиксить, а там такой вот финт...
     
  7. Nod

    Nod Moderator

    выполните всё как сказано в этом посте.
     
  8. Janet

    Janet Junior User

  9. Nod

    Nod Moderator

    в логе AVZ активного заражения не вижу.
    Советую удалить из Автозагрузки:
    И выполните это:
     
  10. Janet

    Janet Junior User

  11. Nod

    Nod Moderator

    Удалите всё найденное в MBAM

    Код:
    [B]Заражённые ключи в реестре:[/B]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent.CK) -> No action taken.
    
    [B]Объекты реестра заражены:[/B]
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: ([url]http://webalta.ru[/url]) Good: ([url]http://www.google.com/[/url]) -> No action taken.
    [B]
    Заражённые папки:[/B]
    c:\documents and settings\Женька\application data\winxrar (Trojan.Agent) -> No action taken.
    
    [B]Заражённые файлы:[/B]
    c:\documents and settings\Женька\рабочий стол\zvuk_v_aeroportu_pered_obyavleniem.rar.exe (Trojan.Dropper) -> No action taken.
    c:\documents and settings\Женька\рабочий стол\avz4\Infected\2011-05-02\avz00001.dta (Adware.Cydoor) -> No action taken.
    c:\documents and settings\Женька\рабочий стол\avz4\Infected\2011-05-02\avz00002.dta (Adware.Cydoor) -> No action taken.
    c:\program files\coreldrawx4\thinstall-coreldrawx4\1000000b00002i\verclsid.exe (Trojan.IRCBot) -> No action taken.
    c:\program files\coreldrawx4\thinstall-coreldrawx4\400000600002i\acrord32info.exe (Trojan.IRCBot) -> No action taken.
    c:\system volume information\_restore{cd95a099-a728-48f4-9faf-d00206ed08cc}\RP352\A0183351.old (Adware.WidgiToolbar) -> No action taken.
    c:\system volume information\_restore{cd95a099-a728-48f4-9faf-d00206ed08cc}\RP392\A0218567.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{cd95a099-a728-48f4-9faf-d00206ed08cc}\RP393\A0218614.dll (Adware.WidgiToolbar) -> No action taken.
    e:\program files\SolSuite\solsuite.2007.universal.patch.exe (RiskWare.Tool.CK) -> No action taken.
    e:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken.
    e:\WINDOWS\ResPatch\ResPatch.exe (Trojan.Glox) -> No action taken.
    f:\old_HDD\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
    f:\мои документы\программки\WinRar\Crack\setup.exe (Trojan.Agent.CK) -> No action taken.
    f:\мои документы\Игрушки\zuma deluxe\inca_ball.exe (Trojan.Dropper) -> No action taken.
    f:\мои документы\Игрушки\Игры\валли\!Mount\advantagesetup.exe (Adware.Vomba) -> No action taken.
    f:\мои документы\Игрушки\Игры\валли\!Mount\unmountdt4.exe (Trojan.Agent) -> No action taken.
    f:\мои документы\Игрушки\cradle of light\wrapperinstall.exe (Spyware.Banker) -> No action taken.
    f:\DISTR\finereaderpro v.7.0.0.543\Crack\Crack\format_fr7pro\keygen.exe (Malware.Packer.Gen) -> No action taken.
    c:\program files\SOLVER32.DLL (Spyware.OnlineGames) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\a.htm (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\aview (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\key (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\winrar.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Женька\application data\winxrar\winrarview.exe (Trojan.Agent) -> No action taken.
    
    
    После чего сделайте еще раз ЛОГ MBAM.
     
  12. Janet

    Janet Junior User

  13. Nod

    Nod Moderator

    Активного заражения не вижу.

    Ошибка больше не появляется?
     
    Последнее редактирование: 23 май 2011
  14. Janet

    Janet Junior User

    Ошибка больше не появляется, спасибо)
     
Статус темы:
Закрыта.

Поделиться этой страницей