В работе - Ошибка: Прекращена работа программы "Восстановление файла hosts"

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем LightMan, 24 июл 2011.

  1. LightMan

    LightMan Newbie

    Доброго времени суток! Прошу помощи!
    Периодически выскакивает эта ошибка. "Прекращена работа программы "Восстановление файла hosts"

    После появления этой ошибки, при входе в соц.сеть "ВКОНТАКТЕ" запрашивается валидация, пройти валидацию аккаунта можно только с номера МТС и за деньги, так же при включении компьютера в процессах появляется fixhosts.exe и постепенно занимает все больше оперативной памяти.

    Логи утилит AVZ и HiJackThis:
    http://webfile.ru/5454186 hijackthis.log
    http://webfile.ru/5454188 virusinfo_syscheck.zip
    http://webfile.ru/5454189 virusinfo_syscure.zip
     
    LightMan, 24 июл 2011
    #1
  2. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\users\vasil\appdata\lsass.exe');
 DeleteFile('c:\users\vasil\appdata\lsass.exe');
 DeleteFile('C:\PROGRA~2\VKSaver\vksaver3.dll');
 DeleteFile('C:\Users\Vasil\AppData\lsass.exe');
 DeleteFile('C:\Windows\system32\hasplms.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
     R3 - URLSearchHook: - -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Users\Vasil\AppData\lsass.exe
O2 - BHO:  Спутник@Mail.Ru  - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O20 - AppInit_DLLs: C:\PROGRA~2\VKSaver\vksaver3.dll
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    Обязательно установите Service Pack 1 для Windows 7
     
    oleg, 25 июл 2011
    #2

Поделиться этой страницей