Периодически выскакивающее окно fixhosts.exe - ошибка приложения
 

Касперский обнаружил на проблемной машине 7 вирусов. Файл hosts чистый, однако периодически выскакивает окно с ошибкой приложения fixhosts.exe. Прикладываю логи.

rzdpasha, смотрю ваши логи

суть заражения ясна. сетевой червь, а потому в обязательном порядке скачайте и установите критические обновления windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis следующие строчки:
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

если GMER не работает не запустится

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Сделайте повторные логи AVZ + выполните лог RSIT

SolarSpark, благодарю за проделанную работу. Применить все рекомендации на машине смогу через несколько часов, тогда и сообщу о результатах.
P.S. Надо бы тоже освоить вкуривание логов. :)

Можете научиться - http://forum.oszone.net/announcement.php?a=182

Указанные ниже строки в HijackThis отсутствовали:Поскольку GMER запустился, то эти пункты пропустил: Новые логи:

rzdpasha, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

и я запрашивала лог RSIT

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

а лог HijackThis вообще старый прикрепили, повторите сканирование и прикрепите свежий
заплатки поставили? без них лечение бессмысленно

Виноват. Действительно, лог RSIT забыл. Бегаю тут между компами с флэшкой. Заплатки поставил. Я на этой машине сразу после лечения Касперским установил Critical и Secure PreSP4-пакеты, видимо тех, что вы указали в них не было, хотя не вглядывался. В любом случае автоматическое обновление в момент заражения было напрочь отключено, ESET, видимо, тоже не обновлялся.

rzdpasha, с флешками осторожнее, Conficker/Kido весьма опасный и вирулентный червячок..
Отключите автозапуск на пк со всех носителей кроме CDROM, повторюсь еще раз, хотя уже давала эту рекомендацию
Но в нашем случае-повторение только во благо.
В окно командной строки скопируйте и вставьте команду:
Нажмите enter. Для подтверждения перезаписи нажмите Y.

Лог GMER чист-лечение успешно.
Деинсталлируем утиль. Для этого скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

но я вижу у вас еще и Kaspersky Anti-Virus 2011
определитесь с антивирусом-второй деинсталлируйте!

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Действительно пришлось повторить и перезаписи не было.
Нет-нет. ESET всё равно был пробный и срок его заканчивался. Был удалён и система подчищена от остатков при помощи спец. утилиты от производителя (у них ещё и AVG в своё время был установлен). Пусть пока довольствуются Касперским, может лицензию прикупят (если припугнуть хорошенько).Ошибка в 91-ой позиции - отсутствует ";" :)
Логи MBAM и RSIT прикреплю немного позднее.

rzdpasha, прошу прощения, этот скрипт примените-исправлен

Ну вы уж совсем меня того. Что же я, не догадался бы точку с запятой вставить? :)

Логи:

проблема решена?

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Проблема решена. Выскакивающее окно перестало досаждать уже после первого скрипта AVZ. Все последующие действия, как понимаю, производились для контрольной зачистки и залатывания дыр. Вам, SolarSpark, плюсик в благодарность.

ну и славно, не болейте больше :)