Решена - fixhosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем borovkov, 17 июн 2011.

Статус темы:
Закрыта.
  1. borovkov

    borovkov Newbie

    borovkov, 17 июн 2011
    #1
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Удалите и Создайте новую точку восстановления системы, для этого:

    2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    3. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\documents and settings\admin\Рабочий стол\Детская  музыка\Новая папка\winamp\winampa.exe');
 TerminateProcessByName('c:\windows\system32\stkcsrv.exe');
 TerminateProcessByName('c:\documents and settings\admin\local settings\application data\yandex\updater\praetorian.exe');
 StopService('smserial');
 QuarantineFile('sper.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smserial.sys','');
 QuarantineFile('C:\WINDOWS\system32\StkCWIA.dll','');
 QuarantineFile('C:\WINDOWS\System32\wiadefui.dll','');
 QuarantineFile('c:\documents and settings\admin\Рабочий стол\Детская  музыка\Новая папка\winamp\winampa.exe','');
 QuarantineFile('c:\windows\system32\stkcsrv.exe','');
 QuarantineFile('c:\documents and settings\admin\local settings\application data\yandex\updater\praetorian.exe','');
 DeleteFile('c:\documents and settings\admin\local settings\application data\yandex\updater\praetorian.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\vdqxnzux.sys');
 DeleteFile('c:\windows\system32\stkcsrv.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smserial.sys');
 DeleteFile('c:\documents and settings\admin\Рабочий стол\Детская  музыка\Новая папка\winamp\winampa.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Praetorian');
 DeleteService('smserial');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    5. Пофиксите в HijackThis следующие строчки:

    Код:
    O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
O4 - Global Startup: hidcon.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    6. Сделайте новые логи AVZ и HijackThis

    7. Cделайте лог MBAM и дайте ссылку на файл лога.

    Для предотвращения повторного заражения рекомендую:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Nod, 17 июн 2011
    #2
  3. borovkov

    borovkov Newbie

    Спасибо большое,очень оперативно!все сделал как написали,больше проблем нет!

    вот что показал VirusTotal

    File name:
    quarantine.zip
    Submission date:
    2011-06-17 15:04:14 (UTC)
    Current status:
    finished
    Result:
    0/ 42 (0.0%)

    вот лог MBAM http://exfile.ru/185255
     
    borovkov, 17 июн 2011
    #3
  4. Nod

    Nod Moderator

    Пожалуйста, обращайтесь;)
     
    Nod, 19 июн 2011
    #4
Статус темы:
Закрыта.

Поделиться этой страницей