Решена лечение fixhost.exe

Статус
В этой теме нельзя размещать новые ответы.

mimik

Новый пользователь
Сообщения
7
Реакции
0
здравствуйте, помогите вылечить
 
забыл
 

Вложения

  • virusinfo_syscure.zip
    32.5 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    31.7 KB · Просмотры: 3
  • log.txt
    29.8 KB · Просмотры: 2
  • info.txt
    34.1 KB · Просмотры: 1
Прямо у Вас эпидемия:)

Смотрю логи скоро отвечу

Добавлено через 34 минуты 24 секунды
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
C:\avz4\avz.exe

Скопируйте следующий скрипт в блокнот и сохраните, как C:\script.txt

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Борис\application data\lsass.exe');
 QuarantineFile('SorryKamba.exe','');
 QuarantineFile('C:\Documents and Settings\Борис\Local Settings\Temp\{B7AA8400-4A7C-4FAB-BD7E-49240F0A7A6F}\NMSAccessU.exe','');
 QuarantineFile('C:\WINDOWS\alevir.exe','');
 QuarantineFile('C:\WINDOWS\brasil.exe','');
 QuarantineFile('C:\WINDOWS\instit.bat','');
 QuarantineFile('C:\WINDOWS\scrsvr.exe','');
 QuarantineFile('C:\WINDOWS\srv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\bride.exe','');
 QuarantineFile('c:\documents and settings\Борис\application data\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\Борис\Application Data\timing.txt','');
 DeleteFile('c:\documents and settings\Борис\application data\lsass.exe');
 DeleteFile('C:\Documents and Settings\Борис\Application Data\timing.txt');
 DeleteFile('SorryKamba.exe');
 DeleteFile('C:\WINDOWS\alevir.exe');
 DeleteFile('C:\WINDOWS\brasil.exe');
 DeleteFile('C:\WINDOWS\instit.bat');
 DeleteFile('C:\WINDOWS\scrsvr.exe');
 DeleteFile('C:\WINDOWS\srv32.exe');
 DeleteFile('C:\WINDOWS\system32\bride.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

Скопируйте следующий текст в блокнот, сохраните на рабочем столе под любым именем с расширением .vbs

Код:
set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Explorer.exe", 0
WScript.Sleep 500
WshShell.Run "C:\avz4\avz.exe AM=Y script=C:\script.txt"

После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт. После окончания компьютер перезагрузится. После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Борис\Application Data\lsass.exe
O1 - Hosts: 193.218.156.156 www.vkontakte.ru
O1 - Hosts: 193.218.156.156 www.vk.com
O1 - Hosts: 193.218.156.156 vkontakte.ru
O1 - Hosts: 193.218.156.156 vk.com
O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.156 odnoklassniki.ru
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path7] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path4] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path3] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path2] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path] SorryKamba

Внимание !!! База AVZ поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
Последнее редактирование:
после сохранения текста на рабочем столе при запуске пишет что не удается найти. пробовал много раз но так и не запустилось
 
после сохранения текста на рабочем столе при запуске пишет что не удается найти. пробовал много раз но так и не запустилось

В корень диска C: поместили файл script.txt и папку с АВЗ? Пути совпадают?
 
Хорошо, тогда поступим по-другому: Скопируйте предложенный скрипт - Запустите диспетчер задач - Выгрузите explorer.exe - Если таких процессов несколько выгружайте все - Исчезнет рабочий стол - В диспетчере задач перейдите в меню Файл - Новая задача (Выполнить) - В появившемся окне нажмите кнопку Обзор - Найдите файл AVZ - Нажмите ОК - В строке после пути к файлу AVZ допишите через пробел AM=Y (например у меня сторока выглядит так: E:\portable\avz4\avz4\avz.exe AM=Y). Запустится AVZ без заголовка - В меню AVZ - Файл - Выполнить скрипт - Вставьте скопированный ранее скрипт и нажмите кнопку Запустить
 
теперь появилась другая проблема при нажатии "выполнить скрипт" виснет авз
 
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
вот что получилось:
 

Вложения

  • ComboFix.rar
    4.2 KB · Просмотры: 6
mimik, в логе чисто. Что с проблемой?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
combofix-uninstall.jpg


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Сделайте новые логи AVZ и RSIT.
Обновите базы в AVZ (Файл\Обновление баз)!!!

Прикрепите лог полного сканирования MBAM.
 
Спасибо вам большое, проблема пока что вроде не проявляется.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу