Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Процесс host.exe (http://forum.oszone.net/showthread.php?t=255308)

alexx1 02-03-2013 12:42 2102474
Процесс host.exe
 
Имеем:
система Win7 Makc, в один прекрасный момент началось - выскакивает окно с ошибкой невозможно обратиться к файлу .../system32/drivers/etc/hosts
Обращение к товарищу Гуглу выдало множество проблем, связанных с изменением файла hosts. Это победил. Но заметил другие последствия (судя по всему работы какого-то вируса) - в автозагрузке не определенный процесс host.exe, в System32 файл host.exe.
Автозагрузке очищена, host.exe из .system32 удален.
Перезагрузки прошла с трудом. На раб. столе и в нижней панели появились левые ярлыки. Файл host.exe в system32 появился снова. Попытки удалить в безопасном режиме не проходят.

KIS 2012 не нашел ничего. AVZ запускал, скрипты выполнял.
Теперь просьба - тыкнуть в тему или подсказать, как с этим бороться.

thyrex 02-03-2013 13:03 2102487
Выполните правила и предоставьте логи

alexx1 03-03-2013 22:23 2103549
Вложений: 4
Начинал тему со смарта. Добрался до компа. Прикрепляю логи.

SolarSpark 04-03-2013 11:57 2103835
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\host.exe','');
 DeleteFile('C:\Windows\system32\host.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
_____________________________________

regist 04-03-2013 12:39 2103871
+ отключите AVZPM

alexx1 06-03-2013 10:49 2105289
Вложений: 1
Malwarebytes' Anti-Malware скачал. Лог прилагается.

quarantine.zip отправлен.

Судя по всему, лечение прошло удачно. Файла host.exe в .../system32 не наблюдаю. Хотелось бы услышать комментарии и объяснения (откуда, как, где).
KIS 2012 работает постоянно. (Понимаю, что 100% гарантии и защиты не дает никто)

SolarSpark 06-03-2013 14:12 2105461
Удалите в МВАМ
Код:
Обнаруженные файлы: 
C:\Users\aLexx\AppData\Local\Temp\VXEivvMD.exe.part (Adware.Downloader.MR) -> Действие не было предпринято.
далее, у вас заражены точки восстановления, избавляемся от заразы

создать точку восстановления необходимо открыть панель свойств системы - Панель управления->Система->Защита системы->Создать...,
в появившемся окне ввести название точки (дата и время будут проставлены автоматически), после окончания работы утилиты достаточно нажать кнопку Закрыть.

Как удалить все точки восстановления кроме последней?
Пуск->В поле поиска вводим Очистка диска, далее выбираем диск, который нужно очистить, затем идём на вкладку Дополнительно->Восстановление системы и теневое копирование->Очистить. У вас диск D:\

Выполните рекомендации после лечения

alexx1 07-03-2013 10:54 2106035
Цитата:
Цитата SolarSpark
Пуск->В поле поиска вводим Очистка диска, далее выбираем диск, который нужно очистить, затем идём на вкладку Дополнительно->Восстановление системы и теневое копирование->Очистить. У вас диск D:\ »
Сделано. Тут же вопрос - как узнать, очищен ли диск. Все так тихо проходит, закрываю окно, на заднем плане что-то моргает и всё.

Цитата:
Цитата SolarSpark
рекомендации после лечения »
Выполнил.

SolarSpark 07-03-2013 12:06 2106086
alexx1, Если желаете, повторите сканирование МВАМ, проверим

akok 07-03-2013 13:54 2106189
И не забывайте о Рекомендации после удаления вредоносного ПО

alexx1 10-03-2013 09:11 2107761
Вложений: 1
Контрольная проверка после лечения.

SolarSpark 10-03-2013 09:33 2107770
чисто, не болейте


Время: 08:19.

Время: 08:19.
© OSzone.net 2001-