Ошибка Fixhosts.exe. Вылезает почти каждый час и пожирает практически все системные ресурсы. Почитал, что нужно делать скрипты, ноя не особо в курсе как.
Printable View
Ошибка Fixhosts.exe. Вылезает почти каждый час и пожирает практически все системные ресурсы. Почитал, что нужно делать скрипты, ноя не особо в курсе как.
Уважаемый(ая) [B]DimanShkuratov[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
Вроде разобрался вот:
[url]http://exfile.ru/177230[/url]
[url]http://exfile.ru/177231[/url]
[url]http://exfile.ru/177232[/url]
Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\WINDOWS\notepab.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.exe','');
DeleteFile('C:\WINDOWS\System32\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
DeleteFile('E:\autorun.inf');
QuarantineFile('C:\WINDOWS\Inf\mdmdcm6.PNF:XVQZpmb5vg6l67QnWu4F','');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
Вот повторные логи:
[url]http://exfile.ru/177304[/url]
[url]http://exfile.ru/177306[/url]
[url]http://exfile.ru/177307[/url]
Прикрепляйте логи на форуме через кнопку Расширенный режим
Извини за назойливость, а где эта кнопка с расширенным режимом?
Под окном написания сообщения
Ясно
[url]http://exfile.ru/177304[/url]
[url]http://exfile.ru/177306[/url]
[url]http://exfile.ru/177307[/url]
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O4 - HKLM\..\Policies\Explorer\Run: []
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPLayer');
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
После обновления:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Карантин не могу прислать пишет:Ошибка загрузки. Данный файл уже был загружен
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 8 минут[/I][/B][/color][/size]
Вот всё отсканил:
[url]http://exfile.ru/177563[/url]
[url]http://exfile.ru/177564[/url]
[url]http://exfile.ru/177565[/url]
[url]http://exfile.ru/177566-это[/url] лог Mbam.
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TMAgent (Adware.TMAagent) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Заражённые папки:
c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\program files\relevantknowledge (Spyware.MarketScore) -> No action taken.
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\program files\DrWeb\Infected.!!!\107.tmp (Malware.Packer.Gen) -> No action taken.
c:\program files\DrWeb\Infected.!!!\avz00002.dta.2dba7ef1 (Trojan.Clicker) -> No action taken.
c:\program files\DrWeb\Infected.!!!\bmtrvcy.exe.7112b3f1 (Trojan.Shiz) -> No action taken.
c:\program files\DrWeb\Infected.!!!\exe[1] (Trojan.Clicker) -> No action taken.
c:\program files\DrWeb\Infected.!!!\game[1]0.exe (Trojan.Dropper) -> No action taken.
c:\program files\DrWeb\Infected.!!!\monoca32.exe.8303e13 (Trojan.Dropper) -> No action taken.
c:\program files\DrWeb\Infected.!!!\notepab.exe.35ed365c (Trojan.Clicker) -> No action taken.
c:\program files\DrWeb\Infected.!!!\sdra64.exe.746fa9e3 (Trojan.Zbot) -> No action taken.
c:\program files\DrWeb\Infected.!!!\sisxvy32.exe.460cbb44 (Trojan.Dropper) -> No action taken.
c:\program files\DrWeb\Infected.!!!\xxyouj.exe.5feeed56 (Backdoor.Bot) -> No action taken.
c:\program files\common files\tm filepacker\fsres.dll (Adware.TMAagent) -> No action taken.
c:\program files\common files\tm filepacker\fsshlext.dll (Adware.TMAagent) -> No action taken.
c:\documents and settings\DEMON\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> No action taken.
c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\DEMON\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
[/CODE]
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
А как удалить, сканировать по новой?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 10 минут[/I][/B][/color][/size]
Почистил, вот лог
[url]http://exfile.ru/177649[/url]
что с проблемой?
Fixhosts попрежнему вылезает.
[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Всё скачал, но не обновлял.
Приступайте
Всё обновил и на всякий случай сделал лог Mbam
[url]http://exfile.ru/177934[/url]