Решена - fixhosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Stas, 12 июн 2011.

Статус темы:
Закрыта.
  1. Stas

    Stas Newbie

    Stas, 12 июн 2011
    #1
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Удалите и Создайте новую точку восстановления системы, для этого:

    2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    3. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 TerminateProcessByName('c:\program files\vistadriveicon\vistadrv.exe');
 QuarantineFile('C:\WINDOWS\system32\cpldapu\produkey.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysdm.cpl','');
 QuarantineFile('C:\Program Files\grym.exe','');
 QuarantineFile('C:\Program Files\Shareman\Shareman.exe','');
 QuarantineFile('C:\WINDOWS\system32\wzcdlg.dll','');
 QuarantineFile('C:\WINDOWS\system32\SHLWAPI.dll','');
 QuarantineFile('C:\WINDOWS\system32\ieframe.dll','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');
 QuarantineFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe','');
 QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
 DeleteFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll');
 DeleteFile('C:\Documents and Settings\fdfdjjjj\Local Settings\Application Data\Opera\Opera\cache\turbo\g_0000\opr0001W.tmp');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    5. Пофиксите в HijackThis следующие строчки:

    Код:
    O1 - Hosts: 123.252.193.142 www.vkontakte.ru
O1 - Hosts: 123.252.193.142 www.vk.com
O1 - Hosts: 123.252.193.142 vkontakte.ru
O1 - Hosts: 123.252.193.142 vk.com
O1 - Hosts: 123.252.193.142 www.odnoklassniki.ru
O1 - Hosts: 123.252.193.142 odnoklassniki.ru
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll
O4 - HKUS\S-1-5-19\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'Default user')
    6. Сделайте новые логи AVZ и HijackThis

    7. Cделайте лог MBAM и дайте ссылку на файл лога.

    Для предотвращения повторного заражения рекомендую:

    - Обязательно обновите браузер Internet Explorer до последней версии '8', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Последнее редактирование: 14 июн 2011
    Nod, 13 июн 2011
    #2
  3. Stas

    Stas Newbie

    Не могу профиксировать строки в HijackThis под пятым пунктом, так как строчки присудствуют не все,что описаны у вас

    http://exfile.ru/183963

    Так же проблема воникла с VirusТotal,так как ограничение загружаемого файла 20 мб (quarantine.zip - 43 мб)


    Но уже есть результат, Оперативу не жрет и Контакт заработал
     
    Последнее редактирование: 13 июн 2011
    Stas, 13 июн 2011
    #3
  4. Nod

    Nod Moderator

    Пофиксите в HijackThis следующие строчки:

    Код:
    O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [wmptweak_inf] rundll32 advpack.dll,LaunchINFSectionEx WMPtweak.inf,DefaultInstall,,4,N (User 'Default user')
    не беда, основное удаление заразы уже произошло, о чем свидетельствует это:
    Выполните пункт 6 и 7.
     
    Последнее редактирование: 14 июн 2011
    Nod, 14 июн 2011
    #4
  5. Stas

    Stas Newbie

    Stas, 14 июн 2011
    #5
  6. Stas

    Stas Newbie

    Stas, 14 июн 2011
    #6
  7. Nod

    Nod Moderator

    1. Удалите в MBAM все найденное:
    2. Еще раз Удалите и Создайте новую точку восстановления системы, для этого:

    2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    На этом лечение завершено.
     
    Nod, 14 июн 2011
    #7
Статус темы:
Закрыта.

Поделиться этой страницей