Решена - Fixhosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем planestranger, 8 май 2011.

Статус темы:
Закрыта.
  1. planestranger

    planestranger Newbie

    При старте компьютера возникает сообщение об ошибке fixhosts.exe. Время от времени он снова появляется в диспетчере задач. Полностью загружает процессор и лавинообразно сжирает память. Доходит примерно до гигабайта (всего в системе два) и снова возникает ошибка.

    Основная функция вируса, похоже, отражена в названии. Он меняет файл hosts на другой, где за множеством пробелов (общий вес становится 148кБ) прячутся переадресации с социальных сетей. Гораздо хуже то, что вирус блокирует командную строку и другие средства администрирования.

    Находил файл fixhosts.exe, удалял его, не помогло. Прогонял проверку антивирусами Avira Personal и AVG 2011, но они его не нашли. Утилита CureIt тоже оказалась бессильна (загружался с live-cd).

    логи прилагаются
    hijackthis.log
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
     
  2. Nod

    Nod Moderator

    1. Скачайте CureIT и проверьте компьютер на вирусы.

    2. Удалите временные файлы с помощью ATF Cleaner, запустите его, поставьте галочку напротив Select All и нажмите Empty Selected.

    3. Пофиксите в hijackthis следующие строки:

    Код:
    C:\Documents and Settings\Саша\Application Data\lsass.exe
    F2 - REG:system.ini:  UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and  Settings\Саша\Application  Data\lsass.exe
    
    4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.)

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    ClearHostsFile;
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
    TerminateProcessByName('c:\documents and settings\Саша\application data\lsass.exe');
    DeleteFile('c:\documents and settings\Саша\application data\lsass.exe');
    DeleteFile('C:\Программы\Новая папка\FinePrint.v6.03.Incl.Keymaker-ZWT.rar');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    После выполнения скрипта компьютер перезагрузиться.
    Выполните в AVZ Стандартный скрипт №2 и дайте ссылку на архив virusinfo_syscheck.zip в следующем сообщении.

    5. Cделайте лог MBAM и дайте ссылку на файл-лога.
     
  3. planestranger

    planestranger Newbie

    1-й и 2-й пункты были выполнены ещё до обращения.
    Выполнил третий.
    При попытке выполнить скрипт (т.е. сразу после того, как я нажимаю Файл->Выполнить скрипт) вирус блокирует AVZ, окно становится неактивным. При переключении между окнами с помощью сочетания Alt+Tab можно увидеть постороннее приложение, не имеющее визуального отображения и не присутствующего в диспетчере задач. Называется Form1, значок стандартного приложения из среды Delphi 7. Та же самая форма возникает при попытке доступа к командной строке или изменения настроек операционной системы (вплоть до регулирования параметров папки).
    Что делать? Как быть дальше?
     
  4. Nod

    Nod Moderator

    Выполните 5-ый пункт.

    Выполните повторно в AVZ Стандартный скрипт №3 и дайте ссылку на архив virusinfo_syscheck.zip в следующем сообщении.
     
  5. planestranger

    planestranger Newbie

    Последнее редактирование: 9 май 2011
  6. Nod

    Nod Moderator

    Удалите в MBAM всё найденное:

    Код:
    [B]Заражённые процессы в памяти:[/B]
    c:\documents and settings\Саша\application data\lsass.exe (Trojan.Delf) -> 1128 -> No action taken.
    
    [B]Заражённые параметры в реестре:[/B]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    
    [B]Объекты реестра заражены:[/B]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Саша\Application Data\lsass.exe) Good: (Userinit.exe) -> No action taken.
    
    [B]Заражённые файлы:[/B]
    c:\program files\Mirillis\splash pro\splash.pro.1.4.0.winall.patch-jw.exe (RiskWare.Tool.CK) -> No action taken.
    c:\программы\ahead nero 7.2.0.3\orn-nero7\Keygen.exe (Trojan.Agent.CK) -> No action taken.
    c:\программы\splash pro hd player v 1.4.0\patch\splash.pro.1.4.0.winall.patch-jw.exe (RiskWare.Tool.CK) -> No action taken.
    c:\программы\virtual_cd\virtual cd 6.0.0.3\keygen.exe (Malware.Packer.Gen) -> No action taken.
    c:\программы\Winamp\5.xx\keygen_winamp.exe (RiskWare.Tool.CK) -> No action taken.
    c:\программы\грабить звук\xilisoft mov converter v2.1.55\keygen.exe (Trojan.Downloader) -> No action taken.
    c:\программы\новая папка\splash pro hd player v 1.4.0\patch\splash.pro.1.4.0.winall.patch-jw.exe (RiskWare.Tool.CK) -> No action taken.
    c:\программы\программы\advanced mp3 converter v1.58 winall incl keymaker\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.
    c:\программы\программы\advanced mp3 converter v1.60\KEYGEN.EXE (Malware.Packer.Gen) -> No action taken.
    c:\программы\программы\Nero\Nero6\Nero6614\nero.burning.rom.6.6.0.14.exe (Trojan.Agent) -> No action taken.
    c:\программы\программы\Nero\Nero6\nero7\nero-7.0.1.2_rus\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
    c:\программы\программы\vso convertxtodvd 3.6.4.158 final\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
    c:\программы\программы\програ\касперский 5.0.156\winrar3_4\winrar 3.41 crack.exe (Trojan.Downloader) -> No action taken.
    c:\программы\easy.cd-da.extractor.pro\Cracked\ezcddax.exe (Trojan.Agent) -> No action taken.
    c:\программы\easy.cd-da.extractor.pro.11.9.9.build.668\Cracked\ezcddax.exe (Trojan.Agent) -> No action taken.
    d:\новая папка\splash pro hd player v 1.4.0\patch\splash.pro.1.4.0.winall.patch-jw.exe (RiskWare.Tool.CK) -> No action taken.
    c:\documents and settings\Саша\application data\lsass.exe (Trojan.Delf) -> No action taken.
    c:\documents and settings\Саша\csrss.exe (Trojan.Agent) -> No action taken.
    
    После чего перезагрузите компьютер и выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    ClearHostsFile;
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
    TerminateProcessByName('c:\documents and settings\Саша\application data\lsass.exe');
    DeleteFile('c:\documents and settings\Саша\application data\lsass.exe');
    DeleteFile('C:\Программы\Новая папка\FinePrint.v6.03.Incl.Keymaker-ZWT.rar');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    Сделайте лог MBAM, выполните в AVZ Стандартный скрипт №2 и дайте ссылку на архив virusinfo_syscheck.zip в следующем сообщении.
     
    Последнее редактирование: 9 май 2011
  7. planestranger

    planestranger Newbie

  8. Nod

    Nod Moderator

    Активного заражения не вижу.
    Пожалуйста.
     
Статус темы:
Закрыта.

Поделиться этой страницей