-
Junior Member
- Вес репутации
- 51
Файл hosts при каждом рестарте забивается
При каждом рестарте файл windows\system32\drivers\hosts постоянно забивается переадресацией по именам facebook, vkontakte, vk на какие-то неизвестные ip'шники, по которым подделаны страницы вышеперечисленных сайтов для выманивания денег. Антивирус NOD32, при проверке каждый раз обнаруживает вирус в папке Windows, но после его удаления и рестарта, появляется новый с немного отличающимся именем и изменяется файл hosts.
____
Update. Кстати говоря cure.rar тоже пустой.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) HedgehogNSK, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HijackThis (как пофиксить):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\25ba5.msi','');
QuarantineFile('C:\Program Files\Common Files\microsoft shared\dmupack.d3x','');
DeleteFile('C:\Program Files\Common Files\microsoft shared\dmupack.d3x');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
При каждом рестарте файл hosts всё так же заменяется на "плохой" файл hosts, ну или файл hosts просто дополняется записями. Если надо могу уточнить заменяется ли сам файл или изменяется текущий.
-
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
Когда файл hosts станет плохим, сделайте заново лог virusinfo_syscheck.zip и лог HijackThis, не изменяя файл hosts.
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
-
-
Junior Member
- Вес репутации
- 51
Простите, я не понял что куда отправить. То ли файлы в ту тему, то ли описание. И нужно сюда было добавлять или нет. И где взять информацию о загрузке?
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\admin\application data\igfxtray.dat', 'MBAM: Malware.Trace');
QuarantineFile('c:\WINDOWS\system32\ieunitdrf.inf', 'MBAM: Malware.Trace');
QuarantineFile('c:\Temp\userinit.exe', 'MBAM: Heuristics.Reserved.Word.Exploit');
DeleteFile('c:\documents and settings\admin\application data\igfxtray.dat');
DeleteFile('c:\WINDOWS\system32\ieunitdrf.inf');
DeleteFile('c:\Temp\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Логи повторите (те, что делали в сообщении #8)
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 51
Файл сохранён как 111212_202023_quarantine_4ee66207c0cd0.zip
Размер файла 2981
MD5 e25499c4e38865f19e064c52ea185c71
-
В HiJackThis пофиксите:
Код:
O1 - Hosts: 46.251.228.210 odnoklassniki.ru
O1 - Hosts: 46.251.228.210 ru-ru.facebook.com
O1 - Hosts: 46.251.228.210 www.vk.com
O1 - Hosts: 46.251.228.210 www.vkontakte.ru
O1 - Hosts: 46.251.228.210 vk.com
O1 - Hosts: 46.251.228.210 www.facebook.com
O1 - Hosts: 46.251.228.210 www.odnoklassniki.ru
O1 - Hosts: 46.251.228.210 vkontakte.ru
O1 - Hosts: 46.251.228.210 facebook.com
O1 - Hosts: 46.251.228.210 facebook.com
В AVZ выполните скрипт:
Код:
begin
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW',2,2,true);
ExpRegKey('HKEY_CURRENT_USER', 'Software\Microsoft\idln2', GetAVZDirectory+'idln2.reg');
ExpRegKey('HKEY_CURRENT_USER', 'Software\Microsoft\bk', GetAVZDirectory+'bk.reg');
end.
Из папки с AVZ приложите файлы bk.reg и idln2.reg в архиве.
Удалите в mbam
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Перегрузитесь. Повторите лог mbam и hijackthis.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 51
Сделал. Только файлы .reg пустые по-моему вышли.
-
Попробуем так.
Скачайте утилиту RSIT
сохраните ее на рабочем столе. Отключите антивирус\фаервол, запустите rsit.exe,
выберите проверку "Анализ файлов и папок созданных за 3 месяца" из выпадающего меню.
Нажмите "Далее", если появится соглашение нажмите "I agree". После сканирования появятся текстовые файлы log.txt и info.txt.
Сохраните их и прикрепите в своем сообщении. {по умолчанию файлы сохраняются в C:\rsit }
Сделайте проверку и лог TDSSKiller
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 51
В папке system32 у меня есть подозрения ещё к 1му ini файлу. Как мне его запостить сюда?
Update. Nod, наконец-то, проснулся, видимо после очередного обновления. После каждого рестарта убивает файл с возгласами что это Qhosts троян. Но видимо плохо удаляет, раз после каждого рестарта этот файл появляется сново.
Последний раз редактировалось HedgehogNSK; 15.12.2011 в 03:25.
-
Junior Member
- Вес репутации
- 51
NOD, наконец-то очнулся и начал удалять hosts именуя его qhost трояном. В результате проверки он нашёл ещё 1 файл hosts в Documents and settings\*user*\Local Settings\Temp . Больше файл hosts не изменяется
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
-