Модифицирован файл host

Printable View

09.02.2010, 00:12
Avil

Модифицирован файл host

Здравствуйте! Сегодня столкнулся с такой проблемой: во время работы перестал загружаться браузер (ИЕ7), вся система жутко начала зависать, перезагрузки не помогали, антивирус (аваст) ничего не увидел. Восстановление системы также не помогло. Висяки длятся до 10-15 минут после загрузки, затем немного отвисало, но браузер не работал. Кстати, загрузка процессора показывала обычную ситуацию - стандартные несколько процентов.
Помогите пожалуйста! Заранее благодарю. Александр.

P.S. После выполнения первого скрипта AVZ браузер вроде бы заработал... Кстати, тот же первый скрипт создал архив virusinfo_cure.
09.02.2010, 00:58
DefesT

[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
Обновите базы и сделайте новые логи AVZ
09.02.2010, 02:04
Avil

Обновить с компа не удалось, видимо, блокирует... Пришлось через ноут обновлять и копировать. Логи сделал.
09.02.2010, 09:39
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\wFj2rG9.exe,C:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\v9Pm6Gz.exe,[/CODE]

# Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\wFj2rG9.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\v9Pm6Gz.exe','');
QuarantineFile('C:\cleansweep.exe\cleansweep.exe','');
QuarantineFile('C:\Documents and Settings\ADMIN\Local Settings\Temp\{A2152160-48CC-4325-8B14-169B8BF0F847}\fsgk.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\rwkv.buo','');
DeleteFile('C:\WINDOWS\SYSTEM32\rwkv.buo');
DeleteFile('\\?\globalroot\systemroot\system32\v9Pm6Gz.exe');
DeleteFile('\\?\globalroot\systemroot\system32\wFj2rG9.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(20);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
09.02.2010, 21:07
Avil

Комп еле включил. Сначала "синий экран смерти", потом несколько раз рабочий стол без значков, потом раскочегарился вроде...
Карантин выслал, логи сделал.

Забыл добавить. При загрузке ругался на services.
10.02.2010, 10:07
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\services.exe,[/CODE]
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
ExecuteRepair(13);
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]
После перезагрузки, сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
10.02.2010, 20:54
Avil

Логи сделал.
Загружаться вроде стало нормально. Но virusinfo.info браузер по-прежнему не видит.
10.02.2010, 21:46
DefesT

В командной строке: route print
результат сюда прислать.
Далее route -f
11.02.2010, 01:36
Avil

Сделал route print, затем route -f. Не может теперь подключиться к интернету - ошибка 769.

[FONT=Arial CYR]Microsoft Windows XP [Версия 5.1.2600][/FONT]
[FONT=Arial CYR](С) Корпорация Майкрософт, 1985-2001.[/FONT]
[FONT=Arial CYR] [/FONT]
[FONT=Arial CYR]C:\Documents and Settings\ADMIN>route print[/FONT]
[FONT=Arial CYR]===========================================================================[/FONT]
[FONT=Arial CYR]Список интерфейсов[/FONT]
[FONT=Arial CYR]0x1 ........................... MS TCP Loopback interface[/FONT]
[FONT=Arial CYR]0x2 ...00 0e 2e 72 3d 3c ...... Realtek RTL8139 Family PCI Fast Ethernet NIC #2[/FONT]
[FONT=Arial CYR]- ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют[/FONT]
[FONT=Arial CYR]0x3 ...00 0d 87 4c b3 8e ...... SiS 900-Based PCI Fast Ethernet рфряЄхЁ - ╠шэшяю[/FONT]
[FONT=Arial CYR]ЁЄ яырэшЁют∙шър яръхЄют[/FONT]
[FONT=Arial CYR]0x60005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface[/FONT]
[FONT=Arial CYR]===========================================================================[/FONT]
[FONT=Arial CYR]===========================================================================[/FONT]
[FONT=Arial CYR]Активные маршруты:[/FONT]
[FONT=Arial CYR]Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика[/FONT]
[FONT=Arial CYR] 0.0.0.0 0.0.0.0 10.160.96.1 10.160.99.165 21[/FONT]
[FONT=Arial CYR] 0.0.0.0 0.0.0.0 95.25.216.121 95.25.216.121 1[/FONT]
[FONT=Arial CYR] 10.0.0.0 255.0.0.0 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 10.160.96.0 255.255.248.0 10.160.99.165 10.160.99.165 20[/FONT]
[FONT=Arial CYR] 10.160.99.165 255.255.255.255 127.0.0.1 127.0.0.1 20[/FONT]
[FONT=Arial CYR] 10.255.255.255 255.255.255.255 10.160.99.165 10.160.99.165 20[/FONT]
[FONT=Arial CYR] 78.107.23.0 255.255.255.0 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 78.107.51.0 255.255.255.240 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 78.107.196.0 255.255.252.0 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 78.107.235.4 255.255.255.252 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 83.102.146.96 255.255.255.224 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 83.102.231.32 255.255.255.240 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.0.29 255.255.255.255 10.160.96.1 10.160.99.165 20[/FONT]
[FONT=Arial CYR] 85.21.52.254 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.72.80 255.255.255.240 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.79.0 255.255.255.0 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.88.130 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.90.0 255.255.255.0 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.108.16 255.255.255.240 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 85.21.138.208 255.255.255.240 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 89.179.135.67 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 95.25.216.121 255.255.255.255 127.0.0.1 127.0.0.1 50[/FONT]
[FONT=Arial CYR] 95.255.255.255 255.255.255.255 95.25.216.121 95.25.216.121 50[/FONT]
[FONT=Arial CYR] 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1[/FONT]
[FONT=Arial CYR] 194.67.1.13 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 194.67.1.14 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 194.67.1.115 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 194.67.1.130 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 194.67.18.19 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 194.67.18.72 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 195.14.50.16 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 195.14.50.21 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 195.14.50.26 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 195.14.50.93 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 217.118.84.213 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 217.118.84.249 255.255.255.255 10.160.96.1 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 224.0.0.0 240.0.0.0 10.160.99.165 10.160.99.165 20[/FONT]
[FONT=Arial CYR] 224.0.0.0 240.0.0.0 95.25.216.121 95.25.216.121 1[/FONT]
[FONT=Arial CYR] 233.33.210.0 255.255.255.0 10.160.99.165 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 255.255.255.255 255.255.255.255 10.160.99.165 10.160.99.165 1[/FONT]
[FONT=Arial CYR] 255.255.255.255 255.255.255.255 95.25.216.121 95.25.216.121 1[/FONT]
[FONT=Arial CYR] 255.255.255.255 255.255.255.255 95.25.216.121 3 1[/FONT]
[FONT=Arial CYR]Основной шлюз: 95.25.216.121[/FONT]
[FONT=Arial CYR]===========================================================================[/FONT]
[FONT=Arial CYR]Постоянные маршруты:[/FONT]
[FONT=Arial CYR] Отсутствует[/FONT]
[FONT=Arial CYR] [/FONT]
[FONT=Arial CYR]C:\Documents and Settings\ADMIN>[/FONT]
11.02.2010, 01:42
Avil

Наверное, лучше вложением...
11.02.2010, 01:51
Avil

Пардон, перезагрузился, всё восстановилось. Но virusinfo.info по-прежнему игнорирует((
11.02.2010, 21:43
Avil

Прогнал на вирусы Касперским Removal Tool и CureIt'ом. Снёс с полдюжины вирусов (в основном qhost). Теперь virusinfo виден. )))

Что скажете? Комп в норме?
13.02.2010, 13:30
DefesT

Если проблем нет, то да
16.02.2010, 19:35
Avil

Спасибо огромное за помощь!!
17.02.2010, 19:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\cleansweep.exe\cleansweep.exe - [B]Trojan.Win32.SpyEyes.b[/B] ( DrWEB: Trojan.Dialer.11, BitDefender: Trojan.Generic.3102763, NOD32: Win32/Spy.SpyEye.B trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\rwkv.buo - [B]Trojan.Win32.Fregee.ae[/B] ( DrWEB: Trojan.Oficla.23, BitDefender: Backdoor.Generic.255394, AVAST4: Win32:Spyware-gen [Spy] )[*] \\?\globalroot\systemroot\system32\v9pm6gz.exe - [B]Trojan.Win32.Qhost.mna[/B] ( DrWEB: Trojan.Packed.19720, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \\?\globalroot\systemroot\system32\wfj2rg9.exe - [B]Trojan.Win32.Qhost.mna[/B] ( DrWEB: Trojan.Packed.19720, NOD32: Win32/Spy.Shiz.NAE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]