Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] fixhosts.exe Постоянно всплывающая ошибка (http://forum.oszone.net/showthread.php?t=229677)

Jedi_One 06-03-2012 14:53 1873510
fixhosts.exe Постоянно всплывающая ошибка
 
Вложений: 2
Добрый день!
На днях начала постоянно появляться ошибка fixhosts.exe, система стала загружаться и работать медленнее. Прошу помочь, заранее спасибо.

akok 06-03-2012 16:02 1873553
Пофиксить в HijackThis следующие строчки
Код:
O4 - Startup: aRznWB2ExQw.exe
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Andrey\Главное меню\Программы\Автозагрузка\AdLoader.lnk',' ');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\Documents and Settings\Andrey\Главное меню\Программы\Автозагрузка\AdLoader.lnk');
 DeleteFileMask('C:\kFv3DjpT2zrwv3U','*.*', true);
 DeleteFileMask('C:\Documents and Settings\Andrey\Application Data\kFv3DjpT2zrwv3U', '*.*', true);
 DeleteDirectory('C:\kFv3DjpT2zrwv3U');
 DeleteDirectory('C:\Documents and Settings\Andrey\Application Data\kFv3DjpT2zrwv3U');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
  ExecuteRepair(13);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

После лечения не забудьте сменить пароли.

Jedi_One 06-03-2012 22:16 1873878
Ого, целая инструкция. Постараюсь все это правильно выполнить. А пока маленький вопросик:
Можете пояснить, вообще, с чем я столкнулся, что это за проблема?

Jedi_One 06-03-2012 23:31 1873922
Вложений: 1
Все выполнил как Вы сказали, прикрепляю лог TDSSKiller.exe

Jedi_One 07-03-2012 00:45 1873967
Вложений: 1
После всего просканировал систему МВАМ'ом, прикрепляю запрашиваемый файл

И еще вопрос, а можно ли было решить все эти проблемы воспользовавшись простым Восстановлением системы (откатом к той точке), когда еще все работало нормально?

Заранее благодарю за ответы.

thyrex 07-03-2012 01:22 1873974
Запустите полное сканирование МВАМ, после его окончания отметьте указанные строки
Код:
Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.

Обнаруженные файлы:  9
C:\Documents and Settings\Andrey\Главное меню\Программы\Автозагрузка\aRznWB2ExQw.exe (Spyware.Zeus) -> Действие не было предпринято.
C:\Программы\Борьба с вирусами\HiJackThis\backups\backup-20120306-223926-412-aRznWB2ExQw.exe (Spyware.Zeus) -> Действие не было предпринято.
C:\Documents and Settings\Andrey\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
и нажмите Удалить выделенное

После этого сделайте новые логи МВАМ и RSIT

Jedi_One 08-03-2012 15:37 1874874
Вложений: 3
thyrex, сделал все как Вы сказали. И прикрепляю новые логи.

А еще сегодня начала происходить неприятная вещь (такое первый раз у меня). Стоит мне запустить Оперу, как через 1-2 минуты комп сам закрает браузер и уходит плавно на перезагрузку. Приходится пока использовать ИЕ.
И еще... на диске С среди всех главных папок Windows, Program и т.д., появилась папка L4C8dMtemCoYv2d, в ней 2 файла - klpclst.dat и wndsksi.inf. Можете подсказать, что это?

Заранее спасибо, ожидаю дальнейших инструкций.

SolarSpark 08-03-2012 16:18 1874899
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
DeleteFileMask('C:\L4C8dMtemCoYv2d', '*.*', true);
 DeleteDirectory('C:\L4C8dMtemCoYv2d');
DeleteFileMask('C:\Documents and Settings\Andrey\Application Data\L4C8dMtemCoYv2d', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Andrey\Application Data\L4C8dMtemCoYv2d');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
сделайте новый лог RSIT

+

Выполните сканирование. Лог приложите

Цитата:
Цитата Jedi_One
вообще, с чем я столкнулся, что это за проблема? »
троян Carberp, сейчас эпидемия

Jedi_One 08-03-2012 17:00 1874921
Вложений: 3
Прикрепляю новые логи RSIT и лог SecurityCheck после сканирования

Jedi_One 08-03-2012 17:22 1874938
Докладываю ситуацию, комп продолжает перезагружаться, стоит мне только войти в Оперу, И возникла новая проблема - не обновляется антивирус KIS 2010. При попытке нажать на обновление баз, пишет "Сбой задачи.Ошибка при работе с файлами."

SolarSpark 08-03-2012 17:33 1874949
Добавим артиллерию посерьезнее))

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Обновите adobe reader, Sun Java, Adobe Flash Player

Jedi_One 08-03-2012 20:06 1875039
Вложений: 1
Какой-то, извиняюсь за выражение, пипец происходит с моим другом.
Рассказываю...
Запустил combofix. Во время прохождения сканирования в районе stage 3 - 5 всплыло окно с ошибкой, говорящее, что приложение будет закрыто. Имя файла, к сожалению, не запомнил. Далее, после прохождения всех стадий, перед формированием отчета, компьютер ушел плавно на перезагрузку, после этого программа продолжила работу и сформировала отчет (который пикрепляю к этому сообщению). Прочитав руководство по этой программе на Вашем сайте, я нигде не увидел упоминания о том, что в процессе должна произойти перезагрузка. Поэтому хотел бы уточнить, это нормально или нет?

Далее я стал выполнять обновления, которые Вы мне порекомендовали.
1. Adobe reader - программа сказала, что обновления не требуются.
2. Sun Java - обновление выполнилось.
3. AFP - в момент инсталяции (примерно на середине процесса) мгновенно происходит перезагрузка, буд-то на Reset нажал. Пробовал несколько раз, и все время так происходит.

Надеюсь на Вашу помощь.

thyrex 08-03-2012 20:41 1875069
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\okora.sys','');
 QuarantineFile('c:\windows\iko.dll','');
 QuarantineFile('c:\windows\turut.sys','');
 QuarantineFile('c:\windows\pou.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Jedi_One 08-03-2012 22:00 1875134
Все выполнил. Что дальше?

thyrex 08-03-2012 22:45 1875172
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С
Код:
KillAll::

File::
c:\windows\okora.sys
c:\windows\iko.dll
c:\windows\turut.sys
c:\windows\pou.dll

Driver::
newdriver

Folder::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rundll32.exe"=-

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Jedi_One 09-03-2012 01:38 1875260
Вложений: 1
Сделал, как Вы сказали. Прикрепляю новый отчет ComboFix.txt.
Хотел бы вот еще , что сказать. При сканировании при прохождении stage 2 всплывает окно с ошибкой, ссылается на какой-то файл pev.3xe.

Что стало лучше? Антивирус теперь обновляется, и при заходе в Оперу комп не перезагружается. Но Опера очень тормозит: и сайты медленно открываются, и видео подтормаживает, и даже при печатании текста на сайтах заметно, что работает далеко не плавно. А для сравнения всё это протестировал и в ИЕ, там все отлично летает.

thyrex 09-03-2012 10:58 1875352
Плохого не видно

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

Jedi_One 10-03-2012 19:42 1876350
Все выполнил, также переустановил Оперу. После этого она стала работать быстро и плавно. В целом в системе сейчас проблем тоже не наблюдаю. Надеюсь все уже позади.

Большое Вам человеческое спасибо!!!

SolarSpark 10-03-2012 20:28 1876375
Выполните рекомендации после лечения
пароли сменить не забудьте


Время: 04:25.

Время: 04:25.
© OSzone.net 2001-