Файл Hosts

Printable View

22.01.2011, 21:25
Oleg555

Файл Hosts

Здраствуйте! У меня существует такая проблема:
при включении/перезагрузке ПК не заходит в контакт (перенаправляет по адресу vkontakte.ru/login.php?act=slogin&fast=1&auto=1&to=emhpdG5pY2s-&hash=6a888d5a360d4189c3a1795315143400&s=1). Стало быть это модифицируется файл "Hosts". Проблема решается удалением или редактированием файла "Hosts", но почему-то при включении/перезагрузке этот файл обратно модифицируется, дописывается:
127.0.0.1 vkontakte.ru
127.0.0.1 [url]www.vkontakte.ru[/url]
127.0.0.1 vk.com
127.0.0.1 [url]www.vk.com[/url].
Тоесть мне приходится постоянно править/удалять "Hosts" при запуске системы, но это напряжно. Выходит на компе есть что-то такое, что модифицирует "Hosts", но Dr. Web его не находит. Не могли бы вы помочь мне выявить это "что-то такое". Логи:
22.01.2011, 22:19
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system\dwm.exe');
QuarantineFile('C:\WINDOWS\system\dwm.exe','');
StopService('darkness');
SetServiceStart('darkness', 4);
DeleteService('darkness');
QuarantineFile('C:\Documents and Settings\Admin\jvxqnu.exe','');
QuarantineFile('C:\windowsxxx.exe\windowsxxx.exe','');
QuarantineFile('C:\Program Files\hfs\hfs.exe','');
DeleteFile('C:\windowsxxx.exe\windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
DeleteFile('C:\Documents and Settings\Admin\jvxqnu.exe');
BC_DeleteSvc('darkness');
DeleteFile('C:\WINDOWS\system\dwm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

[B]c:\program files\lovivkontakte\lovivkontakte.exe[/B] - знаете что это такое, нужно это Вам?

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
22.01.2011, 22:27
Oleg555

Скрипты выполнил.
Карантин отослал.
Перепроверил (на всякий пожарный) - пока еще при перезагрузке Hosts модефицируется.
c:\program files\lovivkontakte\lovivkontakte.exe - знаю, что это за прога (запускается у меня автоматически). Оно нужно, ну если есть большие подозрения на него, то можно с ним попрощаться или лучше заново переустановить. Это приложение стоит давно и раньше проблем с модификацией файла Hosts при нем небыло.
22.01.2011, 22:36
olejah

[QUOTE='Olejah;758670']Сделайте лог Гмер[/QUOTE] Теперь это
22.01.2011, 22:58
Oleg555

Вложений: 1

да-да..извиняюсь..я уже после своей отправки сообщения заметил что вы дописало про ГМЕР. Надеюсь сделал лог правильно.
22.01.2011, 23:07
olejah

- Сохраните текст ниже как [B]1.bat[/B] в ту же папку, где находится [B]zpd9rftu.exe[/B](GMER) и запустите этот батник(1.bat):

[CODE]zpd9rftu.exe -del service sxkmmkifo
zpd9rftu.exe -del file "C:\WINDOWS\system32\dskio.dll"
zpd9rftu.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sxkmmkifo"
zpd9rftu.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\sxkmmkifo"
zpd9rftu.exe -reboot[/CODE]

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
22.01.2011, 23:54
Oleg555

Батник запустил.
23.01.2011, 00:19
olejah

C:\WINDOWS\system\dwm.exe - [COLOR="Red"]not-a-virus:Server-FTP.Win32.SFH.cc[/COLOR] - Ваше, нужно Вам?
23.01.2011, 00:21
Oleg555

понятия не имею, что это..
23.01.2011, 00:28
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Catalyst\CatalystCfg.dll','');
DeleteFile('C:\Program Files\hfs\hfs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
23.01.2011, 01:17
Oleg555

Карантин был отправлен. Предоставляю логи.
PS Попробовал перезагрузить - всё! Теперь нет никаких изменений с Hosts, ничто его уже не модефицирует.
Огромное Вам спасибо, Olejah, за предоставленную помощь!!!)))
23.01.2011, 11:56
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\Catalyst\CatalystCfg.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','MTUchk');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B]
23.01.2011, 16:46
Oleg555

syscure.zip сделал случайно))
syscheck.zip
23.01.2011, 17:27
olejah

Зверей нет, но почему-то в логах опять Hosts изменён. С ним точно всё в порядке?
23.01.2011, 17:29
Oleg555

Вчера вечером перезагрузился - всё было норм..
На ночь выключал. После включения опять это(((
--
PS только что попробовал выключатся/перезагружаться - Hosts не меняется..
Скорее всего я вчера после выполнения всех указаных скриптов AVZ не сделал самого главного - правки содержимого файла Hosts.
23.01.2011, 18:00
olejah

У меня вов ложении эталонный файл, замените им Ваш, перезагрузитесь и проверьте наличие лишних записей.
23.01.2011, 18:01
olejah

Я вчера каждый раз скриптом правил файл, но почему-то записи оставались.
23.01.2011, 18:13
Oleg555

Заменил на эталон.
После перезагрузки ПК изменений с файлом не было.
---
PS Опа! Выявил, что файл Hosts (эталонный) изменился уже во время работы Windows. Спустя 20-25 минут после загрузки.
23.01.2011, 19:09
olejah

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
23.01.2011, 20:21
Oleg555

MBAM
PS в связи моим отъездом буду отсутствовать 3-4 дня..тему прошу, пожалуйста, не закрывайте!
23.01.2011, 20:24
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]

[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.

Зараженные папки:
C:\Windowsxxx.exe (Trojan.SpyEyes) -> No action taken.
C:\Windowsxxx.exe\config.bin (Trojan.SpyEyes) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\0.1877511423703062.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\0.5824337841983367.exe (Trojan.Dropper) -> No action taken.
[/CODE]
28.01.2011, 19:57
Oleg555

Удалил это с помощью MBAM. Пока Hosts всё еще модифицируется((
03.02.2011, 14:49
Oleg555

PS Обнаружил, что Hosts точно изменяется только после перезагрузки/включения ПК в момент двойного клика по ярлыку "Интернет" (подключение к интернету). Тоесть если я не подключал интернет, Hosts не изменяется. Это можно как то проверить?
04.02.2011, 14:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\catalyst\\catalystcfg.dll - [B]Trojan-Downloader.Win32.Agent.fngv[/B] ( DrWEB: Trojan.DownLoad2.19359, BitDefender: Trojan.Generic.KDV.94613, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\program files\\hfs\\hfs.exe - [B]not-a-virus:Server-FTP.Win32.SFH.cc[/B][*] c:\\windows\\system\\dwm.exe - [B]Trojan-PSW.Win32.Papras.ano[/B] ( DrWEB: Trojan.Click1.28786, BitDefender: Trojan.Fakealert.22976, AVAST4: Win32:MalOb-FT [Cryp] )[*] c:\\windowsxxx.exe\\windowsxxx.exe - [B]Trojan-Spy.Win32.SpyEyes.dww[/B] ( DrWEB: Trojan.PWS.SpySweep.35, BitDefender: Trojan.Generic.5277872, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]