Решена - fixhosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем enregister, 21 май 2011.

Статус темы:
Закрыта.
  1. enregister

    enregister Newbie

    при запуске компьютера появляется вот эта ошибка:
    [​IMG]
    и при запуске некоторых программ они сварачиваются и не разварачиваются.

    http://webfile.ru/5336767 - virusinfo_syscure.zip
    http://webfile.ru/5336770 - hijackthis.log
     
  2. Nod

    Nod Moderator

    1. Скачайте CureIT и проверьте компьютер на вирусы.

    2. Удалите временные файлы с помощью ATF Cleaner, запустите его, поставьте галочку напротив Select All и нажмите Empty Selected.

    3. Пофиксите в hijackthis следующие строки:

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\User\Application Data\lsass.exe
    [COLOR=Blue]И если вам не известны эти IP адреса, пофикстие эти строки:[/COLOR]
    O17 - HKLM\System\CCS\Services\Tcpip\..\{64A59B95-F6B3-4AF5-AC5E-9A6FAADA1BFF}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AEB339AC-09B8-4A34-B63D-FC27B4E04386}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C725A43D-B306-4EC9-A2B5-E56CF72E5379}: NameServer = 94.230.34.131 94.230.40.2
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D7062942-2CC1-4683-BA88-C98FD65E49C7}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F0687C80-6EA5-4653-B046-A68386975A86}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F790ADEC-890B-48B5-BC98-84E1B03B9552}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CS2\Services\Tcpip\..\{64A59B95-F6B3-4AF5-AC5E-9A6FAADA1BFF}: NameServer = 188.92.73.123,188.92.73.124
    O17 - HKLM\System\CS4\Services\Tcpip\..\{64A59B95-F6B3-4AF5-AC5E-9A6FAADA1BFF}: NameServer = 188.92.73.123,188.92.73.124
    
    4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.)

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearHostsFile;
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,'); 
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
    TerminateProcessByName('c:\documents and settings\user\application data\lsass.exe');
    DeleteFile('c:\documents and settings\user\application data\lsass.exe');
    DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    После выполнения скрипта компьютер перезагрузиться.
    4.1 Выполните в AVZ Стандартный скрипт №2 и дайте ссылку на архив virusinfo_syscheck.zip в следующем сообщении.

    5. Cделайте лог MBAM и дайте ссылку на файл-лога.
     
  3. enregister

    enregister Newbie

  4. Nod

    Nod Moderator

    Удалите в MBAM всё найденное:

    Код:
    [B]Заражённые ключи в реестре:[/B]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
    
    [B]Объекты реестра заражены:[/B]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    
    [B]Заражённые папки:[/B]
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar (Trojan.Agent) -> No action taken.
    
    [B]Заражённые файлы:[/B]
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\win32.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\Sun\Java\deployment\cache\6.0\21\26864ad5-1b6dd1b7 (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\user\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> No action taken.
    c:\system volume information\_restore{fc5f2be9-6c09-4636-88ca-46bcc159c7ec}\rp7\a0011172.exe (Spyware.Passwords.XGen) -> No action taken.
    d:\system volume information\_restore{fc5f2be9-6c09-4636-88ca-46bcc159c7ec}\RP4\A0007204.dll (Malware.Packer.Gen) -> No action taken.
    c:\documents and settings\User\application data\avdrn.dat (Malware.Trace) -> No action taken.
    c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\a.htm (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\aview (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\key (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\sview (Trojan.Agent) -> No action taken.
    c:\documents and settings\User\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
    
     
  5. enregister

    enregister Newbie

    удалил
     
  6. Nod

    Nod Moderator

    Активного заражения более не вижу.

    Ошибка больше не появляется?
     
  7. enregister

    enregister Newbie

    нет.
    спасибо за помощь!
     
  8. Nod

    Nod Moderator

    Обращаетесь ;)
     
Статус темы:
Закрыта.

Поделиться этой страницей