Показано с 1 по 8 из 8.

Какая-то зараза подменяет hosts (заявка № 106087)

  1. #1
    Junior Member Репутация
    Регистрация
    25.03.2010
    Сообщений
    5
    Вес репутации
    52

    Thumbs up Какая-то зараза подменяет hosts

    Добрый день!
    Какая-то зараза подменяет hosts и не дает запустить "Пуск-Выполнить".
    Eset smart security 4 нашел несколько троянов и удалил. CureIt также нашла и удалила трояны.
    Но после перезагрузки, hosts снова подменен. Где-то эта гадость еще осталась.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Евгений\application data\lsass.exe');
     QuarantineFile('C:\Documents and Settings\Евгений\Application Data\netprotocol.exe','');
     QuarantineFile('C:\Documents and Settings\Евгений\Application Data\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\msddsvc.dll','');
     DeleteFile('C:\WINDOWS\system32\msddsvc.dll');
     DeleteFile('C:\Documents and Settings\Евгений\Application Data\lsass.exe');
     DeleteFile('C:\Documents and Settings\Евгений\Application Data\netprotocol.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
     DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
     BC_DeleteSvc('msdds');
     BC_DeleteSvc('dgderdrv');
     BC_DeleteSvc('DwProt');
     BC_DeleteSvc('NAVENG');
     BC_DeleteSvc('NAVEX15');
     BC_DeleteSvc('SRTSP');
     BC_DeleteSvc('SRTSPX');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=106087).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    25.03.2010
    Сообщений
    5
    Вес репутации
    52
    При нажатии "Файл-Выполнить" AVZ подвисает и окно для выполнения скрипта не появляется.

    На какую-то долю секунды окно для вставки скрипта всеже появляется, но сразу исчезает. И AVZ виснет.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте перед выполнением скрипта AVZ пофиксить в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Евгений\Application Data\lsass.exe
    O1 - Hosts: 31.214.145.147 www.vkontakte.ru
    O1 - Hosts: 31.214.145.147 www.vk.com
    O1 - Hosts: 31.214.145.147 vkontakte.ru
    O1 - Hosts: 31.214.145.147 vk.com
    O1 - Hosts: 31.214.145.147 www.odnoklassniki.ru
    O1 - Hosts: 31.214.145.147 odnoklassniki.ru
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    25.03.2010
    Сообщений
    5
    Вес репутации
    52
    Пофиксил, все равно не могу выполнить скрипт в AVZ, и сделать "Пуск-Выполнить".
    З.Ы. еще заметил, что не могу открыть C:\Documents and Settings\имя_пользователя - окно закрывается

    Изменения: nod 32 нашел и удалил трояна
    21.07.2011 17:22:16 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Documents and Settings\Евгений\Application Data\lsass.exe модифицированный Win32/Kryptik.QOV троянская программа очищен удалением - изолирован

    Теперь я могу выполнить скрипт AVZ. Сейчас отправлю карантин и логи.
    Последний раз редактировалось seomaniac; 21.07.2011 в 17:32. Причина: поспешил с выводами о hosts

  7. #6
    Junior Member Репутация
    Регистрация
    25.03.2010
    Сообщений
    5
    Вес репутации
    52
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Евгений\application data\lsass.exe');
     QuarantineFile('C:\Documents and Settings\Евгений\Application Data\netprotocol.exe','');
     QuarantineFile('C:\Documents and Settings\Евгений\Application Data\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\msddsvc.dll','');
     DeleteFile('C:\WINDOWS\system32\msddsvc.dll');
     DeleteFile('C:\Documents and Settings\Евгений\Application Data\lsass.exe');
     DeleteFile('C:\Documents and Settings\Евгений\Application Data\netprotocol.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
     DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
     BC_DeleteSvc('msdds');
     BC_DeleteSvc('dgderdrv');
     BC_DeleteSvc('DwProt');
     BC_DeleteSvc('NAVENG');
     BC_DeleteSvc('NAVEX15');
     BC_DeleteSvc('SRTSP');
     BC_DeleteSvc('SRTSPX');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=106087).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    После выполнения скрипта, компьютер не перезагрузился. Кроме этого, он не реагировал на Пуск-Выключение-Перезагрузка(или Выключение). Перезагрузил резетом.
    Карантин пустой, поэтому не отправляю.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    В остальном порядок.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    25.03.2010
    Сообщений
    5
    Вес репутации
    52
    Спасибо!

  • Уважаемый(ая) seomaniac, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 24.04.2011, 00:21
    2. Какая-то зараза
      От glit в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:27
    3. Какая-то зараза
      От fire33 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.10.2008, 22:34
    4. Какая то зараза!
      От Ruslanabk в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.06.2008, 01:10
    5. Какая-то Зараза
      От joniscoolkz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.03.2008, 00:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01629 seconds with 18 queries