Решена - Очередной fixhosts

Здравствуйте!
Возникла проблема, связанная с загрузкой страницы вконтакте. Сайт не грузится ни в одном браузере, ни vkontakte.ru, ни vk.com. Периодически всплывает окно, где написано: "fixhosts.exe ... ошибка ... отправить/не отправлять"
Видимо, я куда-то зашла не туда и поймала эту бяку. Хотя с другой стороны, полезный вирус. Даже времени больше появилось с ним:d
Однако, нужна помощь! Помогите, пожалуйста.

hijackthis: http://exfile.ru/183822
avz: http://exfile.ru/183821

 

1. Отключите антивирус/фаервол, интернет.

2. Удалите и Создайте новую точку восстановления системы, для этого:

2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\documents and settings\oem\application data\lsass.exe');
 TerminateProcessByName('c:\program files\kworld multimedia\pvr plus\tvr\scheduled.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 TerminateProcessByName('c:\program files\yandex\desktop\yandesk.exe');
 QuarantineFile('C:\Documents and Settings\OEM\Application Data\lsass.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');
 QuarantineFile('c:\documents and settings\oem\local settings\application data\mediaget2\mediaget.exe','');
 QuarantineFile('C:\WINDOWS\system32\versit.dll','');
 QuarantineFile('C:\WINDOWS\system32\BsMobileCSps.dll','');
 QuarantineFile('c:\program files\yandex\desktop\yandesk.exe','');
 QuarantineFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe','');
 QuarantineFile('c:\program files\kworld multimedia\pvr plus\tvr\scheduled.exe','');
 DeleteFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 DeleteFile('c:\program files\yandex\desktop\yandesk.exe');
 DeleteFile('C:\WINDOWS\system32\BsMobileCSps.dll');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll');
 DeleteFile('c:\documents and settings\oem\local settings\application data\mediaget2\mediaget.exe');
 DeleteFile('C:\Documents and Settings\OEM\Application Data\lsass.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

5. Пофиксите в HijackThis следующие строчки:

Код:

O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver[/B]\vksaver3.dll
O1 - Hosts: 123.252.193.142 www.vkontakte.ru
O1 - Hosts: 123.252.193.142 www.vk.com
O1 - Hosts: 123.252.193.142 vkontakte.ru
O1 - Hosts: 123.252.193.142 vk.com
O1 - Hosts: 123.252.193.142 www.odnoklassniki.ru
O1 - Hosts: 123.252.193.142 odnoklassniki.ru
O4 - HKLM\..\Run: [V0640Mon.exe] C:\WINDOWS\V0640Mon.exe
O4 - HKCU\..\Run: [YandexDesktopSearch] "C:\Program Files\Yandex\Desktop\yandesk.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\OEM\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - Global Startup: VKSaver.lnk = ?
O8 - Extra context menu item: Yandex &Search - http://lingvo.yandex.ru/ie5search.htm
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe

6. Сделайте новые логи AVZ и HijackThis

7. Cделайте лог MBAM и дайте ссылку на файл лога.

Для предотвращения повторного заражения рекомендую:

- НЕ используйте браузер Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

Nod, спасибо, что быстро откликнулись)
сейчас буду пытаться!

 

Проделала первые 3 пункта.
А вот avz почему-то не открывает окно, куда скрипт вставлять. Я его запустила, открыла меню "файл", выбрала выполнить скрипт и старое окно становиться нерабочим, как-будто должно выйти новое, но оно не выходит.
Обновляла avz. Пишет, что обновлений не надо.
Что делать? Скажите, пожалуйста.

 

Зайдите в AVZ Меню - Сервис - Диспетчер процессов, найдите в списке процесс: lsass.exe (у которого полный путь будет вот такой: c:\documents and settings\oem\application data\lsass.exe и завершите этот процесс, правой кнопкой мышки по строке - завершить процесс.

Внимание! возможно у вас будет в списке 2 одинаковых процесса lsass.exe, НО с разными путями
Обязательно посмотрите какой полный путь у этого процесса, если он не тот, который я написал выше, сообщите здесь.

После того как завершите этот процесс, скачайте Полиморфный AVZ и выполните пункты с 4 по 7.


-------------------------------------------
Если с помощью выше указанных действий, завершить процесс не удалось, и вы не можете выполнить скрипт в AVZ т.к. не открывается окно, выполните следующее:

1. Скопируйте лечебный скрипт из пункта 4 в блокнот и сохраните как C:\script.txt
Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет и будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.
-------------------------------------------

После , выполните пункты 5 6 7.

 

Nod, процесс завершить удалось по первому способу, что вы сказали, спасибо) Я сделала п.4 и проверила файл на virustotal.
Вот результаты: http://www.virustotal.com/file-scan...695a8ca374cf7e1d480da45e3b230e9dc3-1307981949

 

после выполнения пункта 5, компьютер перезагрузился?

выполните пункты 5 6 и 7.

 

да, перезагрузился.
сделала пункт 6:
http://exfile.ru/183927 - AVZ
http://exfile.ru/183928 - hijackthis

сейчас буду выполнять п.7

 

в логах активного заражения не вижу.

отлично, жду результатов(лог MBAM).

 

MBAM нашел 2 инфицированных файла.
http://exfile.ru/183960

 

удалите в MBAM все найденное: