Решена - fixhosts. exe (пожирает память)

Добрый день!

Дело в следующем:

при включении компьютера (нетбук) в списке процессов обнаруживается некий fixhosts.exe. Причем даже если на нетбуке не запущена ни одна программа - диспетчер задач показывает огромный объем выделения памяти (такого не бывает даже когда комп "пахает" по полной программе). После удаления fixhosts.exe из списка процессов все приходит в норму, но через какое-то время он снова там. Для наглядности сделал скрины диспетчера задач:

http://webfile.ru/5375584 - fixhosts.exe "жрет" память компьютера

http://webfile.ru/5375588 - диспетчер задач после удаления fixfosts.exe из списка процессов.

По инструкции сделал логи, ссылки:

http://webfile.ru/5375508 - AVZ

http://webfile.ru/5375513 - HiJackThis.log

Последняя надежда на ваш форум, ибо это уже начинает действовать на нервы Заранее огромное спасибо!


добавлено:
Так, перезагрузил комп, сделал еще один лог AVZ, не отключая процесс fixhosts.exe
Но, в процессе создания лога 2 раза приходил "отчет" ("изивините, fixhosts.exe будет закрыт и т.д."). Соответственно, после первого раза процесс исчез, потом опять появился, после второго раза снова исчез.

Ссылка на AVZ-лог:
http://webfile.ru/5375785

 

Добрый день!
Немного подождите - обрабатываю логи.
Лог AVZ сделайте НЕ УБИВАЯ ПРОЦЕСС FIXHOSTS.EXE

 

1. Отключите антивирус/фаервол, интернет.

2. Удалите и Создайте новую точку восстановления системы, для этого:

2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
3.1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
3.2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3.3 нажмите No, если вы хотите оставить ваши сохраненные пароли
3.4 если вы используете Opera, нажмите Opera - Select All - Empty Selected
3.5 нажмите No, если вы хотите оставить ваши сохраненные пароли

4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\program files\google\update\googleupdate.exe');
 TerminateProcessByName('c:\qstart.sys\config\dvmexportservice.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 StopService('gupdate');
 StopService('DvmMDES');
 QuarantineFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe','');
 QuarantineFile('C:\WINDOWS\system32\FlashPlayerCPLApp.cpl','');
 QuarantineFile('C:\WINDOWS\system32\SimpleExt.dll','');
 QuarantineFile('C:\Program Files\Google\Update\GoogleUpdate.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE','');
 QuarantineFile('C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe','');
 QuarantineFile('C:\QSTART.SYS\config\','');
 QuarantineFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');
 QuarantineFile('c:\qstart.sys\config\dvmexportservice.exe','');
 DeleteFile('c:\qstart.sys\config\dvmexportservice.exe');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll');
 DeleteFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE');
 DeleteFile('C:\QSTART.SYS\config\');
 DeleteFile('C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe');
 DeleteFile('http:\www.lenovo.com');
 DelBHO('{6096E38F-5AC1-4391-8EC4-75DFA92FB32F}');
 DeleteService('DvmMDES');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

5. Пофиксите в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll
O1 - Hosts: 193.218.156.152 odnoklassniki.ru
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: uTorrentBar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll
O3 - Toolbar: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll
O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-D41D8CD9.EXE
O8 - Extra context menu item:  Добавить  в  Rambler-Закладки  - res://C:\Program Files\Rambler  Assistant\ramblertoolbarU5972.dll/zakladki.htm
O8 - Extra context menu item:  Найти с  помощью   Рамблера  - res://C:\Program Files\Rambler  Assistant\ramblertoolbarU5972.dll/search.htm
O8 - Extra context menu item:  Перевести  с  помощью   словарей   Рамблера  - res://C:\Program Files\Rambler  Assistant\ramblertoolbarU5972.dll/dic.htm
O9 - Extra button: LENOVO - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.lenovo.com (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
[COLOR=DarkRed][B]O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll
O20 - Winlogon Notify: PicNotify - C:\WINDOWS\SYSTEM32\PicNotify.dll
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)[/B][/COLOR]
O23 - Service: System Repair Windows Update Monitor  (System_Repair_UpdateMonitor) - Lenovo Group Limited - C:\Program  Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe

6. Сделайте новые логи AVZ и hijackthis

7. Cделайте лог MBAM и дайте ссылку на файл лога.


Для предотвращения повторного заражения рекомендую:

- Обязательно обновите браузер Internet Explorer до последней версии '8', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

выполните строго по пунктам, все что я написал выше.

 

Выполнил все по пунктам.

все прошло нормально, но:

1) когда фиксил в HiJackThis - там отсутствовали следующие строки:

O1 - Hosts: 193.218.156.152 odnoklassniki.ru

O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-D41D8CD9.EXE

O9 - Extra button: LENOVO - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.lenovo.com (file missing)

O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll

2) Лог MBAM после полного сканирования должен был автоматически открыться в блокноте, но не открылся. Как сохранить его вручную?

 

это нормально, т.к. вы перед этим выполнили скрипт в AVZ который уже удалил эти строки.

По завершению сканирования нажимаем "ОK" и выбираем "Показать результаты" (Show Results). после этого откроется лог, его сохраняем и даем ссылку тут.