Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Модифицирован файл hosts (заявка № 63154)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Thumbs up Модифицирован файл hosts

    DrWeb выдал сообщение. Я почитал в и-нете и обнаружил, что файл переписывается каждую минуту до 2 мб.
    Не работает в и-нет формах переключение клавиатуры на англ. язык.
    Летели вырусы во множесте, антивирус их ловил. трафик постоянно летит.
    Проверил CureIT, много удалено, выполнил правила.
    Направляю файлы.
    Последний раз редактировалось atv2010; 21.12.2009 в 07:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\LightScribe\LS_HSI.msi','');
     QuarantineFile('C:\WINDOWS\system32\LS_HSI.msi','');
     QuarantineFile('C:\WINDOWS\system32\ftcgpk.dll','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
    Последний раз редактировалось Шапельский Александр; 11.12.2009 в 10:00.

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Не могу запустить avz

    При запуске утилиты avz я вижу, что она работает 2-3 сек. и выключается. Нет возможности запустить скрипт.
    Распаковал ее заново в новую папку - то же самое. Может быть вредоносная программа ее выключает?

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Не запускается AVZ

    Не работает дольше 3 сек, вылетает или просто не запускается, мгновенно вылетает.
    Проверил все DrWeb, он постоянно установлен, ничего нет.
    ЦП постоянно загружен на 100 процентов.
    Файл hosts я вчера защитил от перезапси, поставив атрибут "только для записи" в защищенном режиме.
    Сегодня открыл, оно в течение минуты переисывается на 2 мб.
    В защищенном режиме попробовал выполнить AVZ, пишет, что ошибка синтаксиса в скрипте стр.12.1
    Если подключить интернет, эксплорер зависает, ничего не могу сделать.
    Пишу с другого компьютера, извините, не специалист.

    Добавлено через 14 минут

    Переименовал, спасибо в "ЧАВО".
    Не исполняется, пишт так:
    Ошибка: ';' expected в позиции 12:1
    Последний раз редактировалось atv2010; 11.12.2009 в 09:39. Причина: Добавлено

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    После BC_ImportAll; точку с запятой поставьте и выполните скрипт.

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Проверил

    Поставил точку с запятой, выполнил. Переименовал AVZ в tur.exe HJ в 11.exe
    Направляю файлы.
    Последний раз редактировалось atv2010; 21.12.2009 в 07:04.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(13);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Выполнил

    Выполнил скрипт, присылаю результаты
    Последний раз редактировалось atv2010; 21.12.2009 в 07:04.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполнить скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('C:\WINDOWS\system32\ftcgpk.dll','');
     QuarantineFile('C:\Program Files\Common Files\LightScribe\LS_HSI.msi','');
     QuarantineFile('C:\WINDOWS\Installer\10f506b.msi','');
     QuarantineFile('C:\WINDOWS\Installer\{CE386A4E-D0DA-4208-8235-BCE43275C694}\NewShortcut1_C673DF680CDE41FC9DFBF63D31DE4F28.exe','');
     QuarantineFile('C:\WINDOWS\Installer\{CE386A4E-D0DA-4208-8235-BCE43275C694}\NewShortcut2_C673DF680CDE41FC9DFBF63D31DE4F28.exe','');
     QuarantineFile('C:\WINDOWS\system32\LS_HSI.msi','');
     QuarantineFile('C:\System Volume Information\_restore{F747065C-8FD6-4B04-9D8B-CF38B58BD0A6}\RP590\A0067429.exe:exe.exe:$DATA','');
     DeleteFile('C:\System Volume Information\_restore{F747065C-8FD6-4B04-9D8B-CF38B58BD0A6}\RP590\A0067429.exe:exe.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(13);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    Сделайте комплект логов(3шт.) по правилам

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Выполнил

    При подключении к интернету полетели вирусы, их обнаружил DrWeb.
    Последний раз редактировалось atv2010; 21.12.2009 в 07:04.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Очистите вручную карантин avz!

    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\wmisrvc.exe');
     QuarantineFile('c:\windows\system32\wmisrvc.exe','');
     DeleteFile('c:\windows\system32\wmisrvc.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  14. #13
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Выполнил

    Направляю файлы. Система работает тяжело, медленно.
    Последний раз редактировалось atv2010; 21.12.2009 в 07:04.

  15. #14

  16. #15
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Один отчет

    Сделал проверку MBAM.
    GMER пока не закончил проверку, а унас уже после полуночи.
    Анализирует огромные базы по работе. Я их удалю и повторю.
    Последний раз редактировалось atv2010; 17.12.2009 в 12:17.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Удалите в mbam
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
    
    Заражено папок:
    C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
    
    Заражено файлов:
    C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
    Сделаете новый лог mbam

  18. #17
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Есть результаты

    Выполнил MBM, правда в два приема.
    Затем сделал лог, который высылаю.
    Затем проверил Gmer. Лог высылаю.
    Файл hosts уже не переписывается. ЦП на 100%, как ранише не занят, явный прогресс.
    Простите, если я от радости пишу глупости, но просто пользователь.
    Последний раз редактировалось atv2010; 17.12.2009 в 12:17.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    В логах чисто, что с проблемой?

    Добавлено через 2 минуты

    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Рекомендую обновить, иначе могут быть проблемы, + установить последние обновления на ОС
    Последний раз редактировалось Шапельский Александр; 13.12.2009 в 11:56. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Благовещенск
    Сообщений
    57
    Вес репутации
    30

    Ответ

    То, с чего все началось, кажется, нормально.
    Я уже писал, что файл hosts не заменяется, система работает вроде бы хорошо.
    Обновление я сделаю обязательно. Этот компьтер используется только для работы с Интернет, в частности для отправки электронной отчетности (занимаюсь бухучетом). Все настраиваю сам, поэтому трудно даются все изменения. Каждый раз обращаться к специалистам не удобно. Работаю давно, были пару лет назад встречи с вирусом, система просто умерла, но я восстановил из образа диска С:, сделанного в день установки опер.системы с помощью Acronis. Надеялся на антивирус.
    Сейчас я с Вашей помощью многое понял. Стал читать на Вашем сайте, буду исполнять все рекомендации.
    Спасибо Вам. Завтра на работе я подключу к интернету и, если будут проблемы, продолжу эту тему.
    Подскажите, пожалуйста. Я частенько чищу компьтер от всякого временного мусора стандартными настройками программы SBMAV Disk Cleaner 2009. Новсегда есть файлы, которые не удаляются: c:\Documents and Set...\Temporary Internet Files\Content.IE5\ примерно такого пути. Это нормально, или должно вызывать сомнение?

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Цитата Сообщение от atv2010 Посмотреть сообщение
    c:\Documents and Set...\Temporary Internet Files\Content.IE5\
    Перед удалением надо закрывать броузер интернет эксплорер. Там временные файлы хранятся.

  • Уважаемый(ая) atv2010, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 14.09.2010, 16:27
    2. Модифицирован файл HOSTOS
      От Натали09 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.03.2010, 20:32
    3. Модифицирован файл host
      От Avil в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 17.02.2010, 19:35
    4. Модифицирован HOSTS
      От Nazarserg в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.01.2010, 16:58
    5. Модифицирован файл HOSTS
      От Ollegg в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.09.2009, 10:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01513 seconds with 16 queries