При каждом рестарте файл windows\system32\drivers\hosts постоянно забивается переадресацией по именам facebook, vkontakte, vk на какие-то неизвестные ip'шники, по которым подделаны страницы вышеперечисленных сайтов для выманивания денег. Антивирус NOD32, при проверке каждый раз обнаруживает вирус в папке Windows, но после его удаления и рестарта, появляется новый с немного отличающимся именем и изменяется файл hosts.
____
Update. Кстати говоря cure.rar тоже пустой.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) HedgehogNSK, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Installer\25ba5.msi',''); QuarantineFile('C:\Program Files\Common Files\microsoft shared\dmupack.d3x',''); DeleteFile('C:\Program Files\Common Files\microsoft shared\dmupack.d3x'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Спасибо.=)
Что с проблемой?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
При каждом рестарте файл hosts всё так же заменяется на "плохой" файл hosts, ну или файл hosts просто дополняется записями. Если надо могу уточнить заменяется ли сам файл или изменяется текущий.
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
Когда файл hosts станет плохим, сделайте заново лог virusinfo_syscheck.zip и лог HijackThis, не изменяя файл hosts.
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Простите, я не понял что куда отправить. То ли файлы в ту тему, то ли описание. И нужно сюда было добавлять или нет. И где взять информацию о загрузке?
В AVZ выполните скрипт:После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\documents and settings\admin\application data\igfxtray.dat', 'MBAM: Malware.Trace'); QuarantineFile('c:\WINDOWS\system32\ieunitdrf.inf', 'MBAM: Malware.Trace'); QuarantineFile('c:\Temp\userinit.exe', 'MBAM: Heuristics.Reserved.Word.Exploit'); DeleteFile('c:\documents and settings\admin\application data\igfxtray.dat'); DeleteFile('c:\WINDOWS\system32\ieunitdrf.inf'); DeleteFile('c:\Temp\userinit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Логи повторите (те, что делали в сообщении #8)Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Paula rhei.
Поддержать проект можно тут
Файл сохранён как 111212_202023_quarantine_4ee66207c0cd0.zip
Размер файла 2981
MD5 e25499c4e38865f19e064c52ea185c71
В HiJackThis пофиксите:
В AVZ выполните скрипт:Код:O1 - Hosts: 46.251.228.210 odnoklassniki.ru O1 - Hosts: 46.251.228.210 ru-ru.facebook.com O1 - Hosts: 46.251.228.210 www.vk.com O1 - Hosts: 46.251.228.210 www.vkontakte.ru O1 - Hosts: 46.251.228.210 vk.com O1 - Hosts: 46.251.228.210 www.facebook.com O1 - Hosts: 46.251.228.210 www.odnoklassniki.ru O1 - Hosts: 46.251.228.210 vkontakte.ru O1 - Hosts: 46.251.228.210 facebook.com O1 - Hosts: 46.251.228.210 facebook.com
Из папки с AVZ приложите файлы bk.reg и idln2.reg в архиве.Код:begin begin SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('RemoteRegistry', 4); ExecuteWizard('TSW',2,2,true); ExpRegKey('HKEY_CURRENT_USER', 'Software\Microsoft\idln2', GetAVZDirectory+'idln2.reg'); ExpRegKey('HKEY_CURRENT_USER', 'Software\Microsoft\bk', GetAVZDirectory+'bk.reg'); end.
Удалите в mbam
Перегрузитесь. Повторите лог mbam и hijackthis.Код:Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Paula rhei.
Поддержать проект можно тут
Сделал. Только файлы .reg пустые по-моему вышли.
Попробуем так.
Скачайте утилиту RSIT
сохраните ее на рабочем столе. Отключите антивирус\фаервол, запустите rsit.exe,
выберите проверку "Анализ файлов и папок созданных за 3 месяца" из выпадающего меню.
Нажмите "Далее", если появится соглашение нажмите "I agree". После сканирования появятся текстовые файлы log.txt и info.txt.
Сохраните их и прикрепите в своем сообщении. {по умолчанию файлы сохраняются в C:\rsit }
Сделайте проверку и лог TDSSKiller
Paula rhei.
Поддержать проект можно тут
В папке system32 у меня есть подозрения ещё к 1му ini файлу. Как мне его запостить сюда?
Update. Nod, наконец-то, проснулся, видимо после очередного обновления. После каждого рестарта убивает файл с возгласами что это Qhosts троян. Но видимо плохо удаляет, раз после каждого рестарта этот файл появляется сново.
Последний раз редактировалось HedgehogNSK; 15.12.2011 в 03:25.
NOD, наконец-то очнулся и начал удалять hosts именуя его qhost трояном. В результате проверки он нашёл ещё 1 файл hosts в Documents and settings\*user*\Local Settings\Temp . Больше файл hosts не изменяется
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) HedgehogNSK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
