Решена - Ошибка Fixhosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем vovkin99, 22 июл 2011.

Статус темы:
Закрыта.
  1. vovkin99

    vovkin99 Junior User

    периодически выскакивает ошибка fixhosts.exe.

    http://webfile.ru/5452079
    http://webfile.ru/5452086
    http://webfile.ru/5452087

    После появления этой ошибки, перестал обновляться антивирус,по причине:"Невозможно подключится к базе данных". И при входе в соц.сеть "ВКОНТАКТЕ" запрашивается валидация,причем пройти валидацию аккаунта можно только с номера МТС и за деньги, так как при отправке смс, мне пришло уведомление о том что у меня не достаточно денег на счету. Хотя ранее, я регистрировал свой контакт на номер,оператора ТЕЛЕ2.
     
    vovkin99, 22 июл 2011
    #1
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 TerminateProcessByName('c:\documents and settings\v&v\application data\qipguard\qipguard.exe');
 TerminateProcessByName('c:\documents and settings\v&v\application data\lsass.exe');
 DeleteFile('c:\documents and settings\v&v\application data\lsass.exe');
 DeleteFile('c:\documents and settings\v&v\application data\qipguard\qipguard.exe');
 DeleteFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll');
 DeleteFile('C:\Program Files\ConduitEngine\prxConduitEngine.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
 ExecuteRepair(20);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: UrlSearchHook Class -  {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program  Files\Ask.com\GenericAskToolbar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\V&V\Application Data\lsass.exe
O2 - BHO: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer , замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Nod, 22 июл 2011
    #2
  3. vovkin99

    vovkin99 Junior User

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

    Нажимаю файл>выполнить скрипт. Появляется окно и тут же исчезает, не успеваю вставить скрипт. Что делать? пробовал много раз, перезагружал комп, результат тот же.
     
    vovkin99, 23 июл 2011
    #3
  4. oleg

    oleg Expert Вирусоборец

    1. Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt
    Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
    2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
    3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

    После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет и будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.

    После выполните пункты, 3 4 6
     
    oleg, 23 июл 2011
    #4
  5. vovkin99

    vovkin99 Junior User

    1. Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt
    Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
    2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
    3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

    Выполнил все как ты написал. Запускаю RunAVZScript.vbs, пропадает рабочий стол, открывается AVZ, но дальше ничего не происходит,ждал минут 10 ничего не происходит. Все файлы расположил так, как ты указал.
     
    vovkin99, 24 июл 2011
    #5
  6. oleg

    oleg Expert Вирусоборец

    проверьте что бы файл script.txt находился в директории C:\ и назывался именно так с учетом регистра, а также проверьте что файл не пустой, а содержит скрипт из пункта 3.
     
    oleg, 25 июл 2011
    #6
  7. vovkin99

    vovkin99 Junior User

    В HijackThis не были найдены вот эти строки:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\V&V\Application Data\lsass.exe
    O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll

    http://webfile.ru/5455827
    http://webfile.ru/5455833
    http://webfile.ru/5455834
    Ребят,огромное спасибо! за оказанную помощь! Теперь все работает исправно. У меня еще один вопрос. Прога MBAM, может совместно работать с антивирусом Касперского?
     
    vovkin99, 25 июл 2011
    #7
  8. oleg

    oleg Expert Вирусоборец

    работать - имеете ввиду "выполнять сканирование" ? - может, но это крайне не желательно.
     
    oleg, 25 июл 2011
    #8
  9. vovkin99

    vovkin99 Junior User

    то есть теперь ее лучше удалить? лучше оставить, только касперский? или эту прогу? что лучше?
     
    vovkin99, 25 июл 2011
    #9
  10. oleg

    oleg Expert Вирусоборец

    Удалите MBAM после произведенного сканирования.
    Касперский пусть работает в штатном режиме.
     
    oleg, 25 июл 2011
    #10
  11. vovkin99

    vovkin99 Junior User

    окей,еще раз болшое спасибо!
     
    vovkin99, 25 июл 2011
    #11
  12. oleg

    oleg Expert Вирусоборец

    Пожалуйста;)
     
    oleg, 25 июл 2011
    #12
Статус темы:
Закрыта.

Поделиться этой страницей