Решена - поймал вирус fixhosts.exe

fixhosts.exe-ошибка приложения Выскакивает каждые 20 минут.
прошу помощи
Вот логи http://exfile.ru/ 183477-hijackthis
http;//exfile.ru/ 183480-virusinfo_syscure.zip

 

1. Отключите антивирус/фаервол, интернет.

2. Удалите и Создайте новую точку восстановления системы, для этого:

2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 StopService('MBAMSwissArmy');
 QuarantineFile('C:\WINDOWS\TEMP\GuardGuard.exe','');
 QuarantineFile('C:\WINDOWS\setup.exe','');
 QuarantineFile('C:\Documents and Settings\1.1-B5DD0F408E3A4\Local Settings\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\vax347b.sys','');
 QuarantineFile('C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe','');
 QuarantineFile('D:\EVEREST Ultimate Edition\everest.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mbamswissarmy.sys','');
 QuarantineFile('C:\DOCUME~1\1AF4F~1.1-B\LOCALS~1\Temp\pxtdapob.sys','');
 QuarantineFile('\Alcohol 120\Alcoholx.dll','');
 QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
 QuarantineFile('C:\Program Files\vShare\vshare_toolbar.dll','');
 QuarantineFile('C:\Program Files\ConduitEngine\ConduitEngine.dll','');
 QuarantineFile('C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll','');
 DeleteFile('C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll');
 DeleteFile('C:\Program Files\ConduitEngine\ConduitEngine.dll');
 DeleteFile('C:\Program Files\vShare\vshare_toolbar.dll');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
 DeleteFile('C:\DOCUME~1\1AF4F~1.1-B\LOCALS~1\Temp\pxtdapob.sys');
 DeleteFile('C:\Documents and Settings\1.1-B5DD0F408E3A4\Local Settings\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\WINDOWS\setup.exe');
 DeleteFile('C:\WINDOWS\TEMP\GuardGuard.exe');
 DelBHO('{a549a1af-dd1f-4c70-88fd-009de7fab4d8}');
 DelCLSID('AutorunsDisabled');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

5. Пофиксите в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: MR7 Toolbar - {a549a1af-dd1f-4c70-88fd-009de7fab4d8} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O3 - Toolbar: MR7 Toolbar - {a549a1af-dd1f-4c70-88fd-009de7fab4d8} - (no file)
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsc.exe
O24 - Desktop Component 0: (no name) - http://beta.novoteka.ru/yophotos/bb4.jpg

6. Сделайте новые логи AVZ и HijackThis

7. Cделайте лог MBAM и дайте ссылку на файл лога.

Для предотвращения повторного заражения рекомендую:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

указания выполнил полностью всё пришло в норму огромное спасибо
log 184485 на exfile.ru

 

я разве просил лог GMER у вас? (проверил его на всякий случай, он чист).
Лечение еще не завершено, выполните пункт 6 и 7.

 

пункты 6и7 выполнены
mbam-log 184593
hijackthis log 184591
virusinfo_syscure.zip 184590
расположены на exfile.ru

 

удалите в MBAM следующее:

Код:

[B]Зараженные файлы:[/B]
c:\documents and settings\1.1-b5dd0f408e3a4\local settings\application data\Opera\opera 11.00 beta\cache\g_0005\opr02TPA.tmp (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\1.1-b5dd0f408e3a4\local settings\application data\Opera\opera 11.00 beta\cache\g_0005\opr02TPG.tmp (Hoax.ArchSMS) -> No action taken.
c:\program files\talisman 3\themes\Unknown\wicons.icl (Trojan.FakeAlert) -> No action taken.
c:\program files\тв рекордер\loader.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\program files\рекордер\loader.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\driver_checker_2.7.4_rus\keygen\keygen.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{10a7da6b-09e3-41ef-ab24-319da72d4c36}\RP20\A0003872.EXE (Malware.Gen) -> No action taken.
d:\system volume information\_restore{10a7da6b-09e3-41ef-ab24-319da72d4c36}\RP35\A0010469.exe (Malware.Gen) -> No action taken.
d:\system volume information\_restore{10a7da6b-09e3-41ef-ab24-319da72d4c36}\RP39\A0017051.EXE (Malware.Gen) -> No action taken.
d:\system volume information\_restore{10a7da6b-09e3-41ef-ab24-319da72d4c36}\RP54\A0033119.EXE (Malware.Gen) -> No action taken.