Возможно DFH:HOSTS.corrupted - находит Dr.Web CureIt [Trojan-Downloader.Win32.Andromeda.agaa ]

[Marinka]

Комп ужасно виснет, невозможно что-либо делать. Dr.Web CureIt находит DFH:HOSTS.corrupted. но даже после лечения появляется вновь и вновь.
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
Заранее благодарна за уделенное время.

[Info_bot]

Уважаемый(ая) Marinka, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Admin\foluligc.exe','');
 DeleteFile('C:\Documents and Settings\Admin\foluligc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');       
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;   
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kipistart.ru
O4 - HKCU\..\Run: [MSConfig] "C:\Documents and Settings\Admin\foluligc.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{01BBAE8A-BD89-474C-8E59-6D79952B6043}: NameServer = 193.111.137.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{B50828B3-D925-428D-8C63-D054F9954793}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{01BBAE8A-BD89-474C-8E59-6D79952B6043}: NameServer = 193.111.137.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{01BBAE8A-BD89-474C-8E59-6D79952B6043}: NameServer = 193.111.137.200

Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

Очистите куки и кэш браузеров (http://virusinfo.info/showthread.php?t=128635)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Marinka]

спасибо за уделенное внимание моему вопросу.
карантин отправила.

Необходимые файлы прилагаю.
hijackthis.logvirusinfo_syscheck.zip
MBAM-log-2014-02-19 (03-13-59).txt

[mike 1]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:  2
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.

Обнаруженные папки:  3
C:\Documents and Settings\Admin\Application Data\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\{$1284-9213-2940-1289$} (Trojan.Agent.BCM) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Documents and Settings\Admin\Local Settings\Application Data\genienext\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1454471165-602609370-1417001333-1000\Dc108.exe (PUP.Optional.JumpyApps) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\msconfig.ini (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\{$1284-9213-2940-1289$}\27218346293184 (Trojan.Agent.BCM) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Marinka]

удалила все, кроме C:\Documents and Settings\Admin\Application Data\msconfig.ini (Trojan.Agent) , так как не нашла в перечне.

Новый лог прикрепляю
MBAM-log-2014-02-19 (20-42-19)_1.txt

[mike 1]

Удалите тогда вручную этот C:\Documents and Settings\Admin\Application Data\msconfig.ini файл или при помощи MBAM.

Затем сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Marinka]

удалила.

Новые логи:
virusinfo_syscheck.ziphijackthis.log

[mike 1]

Что с проблемой?

[Marinka]

скорость значительно возросла.вроде бы не зависает наглухо как раньше.

по учебе часто пользуюсь флешкой. все компы кроме моего сильно ругаются,когда вставляю ее. боюсь повторно заразить свой комп с флешки. вот просканировала в MBAM ее. Вы не могли бы посмотреть пожалуйста? все можно удалять?
MBAM-log-2014-02-19 (23-33-16)_fleshka.txt

[mike 1]

На флешке удалите в MBAM:

Код:

Обнаруженные файлы:
H:\RECYCLER\S-8-7-60-680125112-4391752380-645725711-971\uvtnf.exe (Trojan.Dorkbot.ED) -> Действие не было предпринято.
H:\RECYCLER\S-6-0-59-656534804-6359389639-884183044-165\rsblxi{.exe (Trojan.Dorkbot.ED) -> Действие не было предпринято.

Установите Internet Explorer 8 (даже если им не пользуетесь)

[Marinka]

Internet Explorer 8 установила.
Большое спасибо за помощь. Проблемы вроде пока не наблюдаются. Производительность увеличилась.

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[Marinka]

SecurityCheck.txt

[mike 1]

Обновите:

Foxit Reader 4.1.1.805 v.v4.1.1.805 Внимание! Скачать обновления
Java(TM) 6 Update 21 v.6.0.210 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^
Adobe Shockwave Player 11.5 + Authorware Web Player v.11.5.8.612 Внимание! Скачать обновления
Adobe Reader 9.1.2 - Russian v.9.1.2 Внимание! Скачать обновления
Mozilla Firefox (3.5.2) v.3.5.2 (ru) Внимание! Скачать обновления

Советы и рекомендации после лечения компьютера

[Marinka]

выполнила рекомендации..но производительность и быстродействие как увеличилась в начале,так через пару дней и уменьшилась обратно..снова все виснет.
если не сложно, посмотри пожалуйста логи,все ли ок... или теперь причина в другом чем-то.
virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.log

[mike 1]

Логи AVZ сделайте версией AVZ 4.43

[Marinka]

а где скачать? есть на сайте тут?

[mike 1]

Отсюда http://www.z-oleg.com/secur/avz/download.php скачайте утилиту.

[Marinka]

virusinfo_syscure.zipvirusinfo_syscheck.zip