Решена - Вирус hosts.exe

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Anna_R, 2 мар 2012.

  1. Anna_R

    Anna_R Junior User

    Добрый день!

    При загрузке windows система выдает сообщение "Восстановление файла hosts" "Прекращена работа программы "Восстановление файла hosts". Также это же сообщение периодически выскакивает при работе компьютера (иногда после часового неиспользования я закрываю по 10 таких окон).
    Перед этим аваст блокировал какой-то вредоносный сайт, хотя браузер был закрыт (самовключение?).
    Лечилка Касперского не помогла, проблема "hosts" осталась.

    логи:

    http://zalil.ru/32804200 virusinfo_syscure

    http://zalil.ru/32804208 hijackthis

    http://zalil.ru/32804219 образ автозапуска


    Заранее спасибо за помощь!
     
    Последнее редактирование модератором: 3 мар 2012
  2. Anna_R

    Anna_R Junior User

    забыла добавить:
    при нормальной работе компьютера множество запущенных служб svchost.exe от различных пользователей (система, LOCAL SERVICE, NETWORK SERVICE) - это нормально?
    при ошибке хотела сделать скрин Диспетчера задач, но то ли вирус не дает, то ли еще какая-то проблема...
     
  3. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
     ClearHostsFile;
     DeleteFile('C:\Program Files\Alwil Software\Avast5\snxhk.dll');
     DeleteFile('C:\Users\Аня\AppData\Local\Temp\_uninst_79424289.bat');
     DeleteFile('C:\Windows\system32\vksaver.dll');
     RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Сделайте новые логи AVZ.

    5. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус?

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  4. Anna_R

    Anna_R Junior User

    выполнила шаги 1-3 и при загрузке система недозагружается и выдает синий экран смерти. После перезагрузки - опять по новой и так без конца.
    включила ноут в безопасном режиме, просканировала
    лог AVZ: http://zalil.ru/32806554 сканировала в обычном безопасном режиме
    лог MBAM http://zalil.ru/32807128 - безопасный режим с интернетом (не знаю, вдруг это важно?)
    сейчас нахожусь в безопасном режиме (с возможностью подключения сетевых драйверов чтобы выйти в интернет)

    помогите пожалуйста восстановить обычную загрузку windows, может скриптом удалила важный файл, из-за которого не загружается система?
     
  5. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
    Вставляем текст скрипта:
    Перед выполнением скрипта, закрыть браузеры!
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref HTTP://WWW.MAIL.RU/CNT/5087
    delref HTTP://WWW.MAIL.RU/CNT/8746
    delall %SystemDrive%\USERS\АНЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
    delall %SystemDrive%\USERS\АНЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\_UNINST_79424289.LNK
    exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    exec C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST5\ASWRUNDLL.EXE "C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST5\SETUP\SETIFACE.DLL" RUNSETUP
    regt 14
    deltmp
    delnfr
    restart
    И жмем Выполнить. На все запросы жмем Да и Далее (при удалении программ). После выполнения скрипта - ПК перезагрузится.
     
  6. Anna_R

    Anna_R Junior User

    Скрипт выполнила, один из удаляемых файлов Windows Installer - его удалять не хочет, ругается.

    После перезагрузки также синий экран.
     
  7. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    а какая ошибка на синем экране? на какой файл ругается?
     
  8. Anna_R

    Anna_R Junior User

    успела щелкнуть качество не очень http://zalil.ru/32808095

    выдает сообщение: Установщик виндовс
    Не удалось получить доступ к службе установщика виндовс инсталлер. возможно не установлен виндовс инсталлер. обратитесь за помощью в службу поддержки
     
  9. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    если интернет сейчас работает, то запустите эту программу и с помощью нее снесите ваш антивирус. затем перезагрузитесь и посмотрите на результат
     
  10. Anna_R

    Anna_R Junior User

    Все работает! Спасибо!
    Какой антивирус лучше установить? (мне б конечно бесплатный, я регулярно систему "сношу" под ноль)
     
  11. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Ну из бесплатных можете поставить опять же Аваст, желательно последней версии.
    Но лучше установить Нод32 или что нибудь из Касперского. С Нодом могу помочь в личке. Пишите.

    Если проблема решена, то:
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.
     
  12. Anna_R

    Anna_R Junior User

    пока что поставила Касперского, обновила флеш-плеер и ява.
    нашлись уязвимости, но я так полагаю, по ссылкам переходить не надо?
     
  13. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    как не надо?:) они для этого и даны чтоб перейти по ним и все установить
     

Поделиться этой страницей