Вирус, видоизменяет Hosts

**mazum** · 19.02.2010, 09:25

Здравствуйте. На компьютере вирус, который меняет файл host. Лечу его лечу, все никак не изводится. Сейчас с зараженного компа не могу зайти на virusinfo.info, к примеру, приходится писать с другого.
Провел все необходимые процедуры, прикладываю логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 19.02.2010, 09:54

Здравствуйте, Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\services.exe,\\?\globalroot\systemroot\system32\sidkcbt.exe,

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\sidkcbt.exe','');
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\autorun.inf');
 DeleteFile('\\?\globalroot\systemroot\system32\sidkcbt.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

**mazum** · 19.02.2010, 10:26

Сделал.

**V_Bond** · 19.02.2010, 10:46

что с проблемами ?

**mazum** · 19.02.2010, 13:12

Пока, вроде, все нормально. Касперский обновляется, что не делал, на вирусинфо.инфо зайти смог, что раньше тоже не получалось.
Но файла hosts, в windows/system32/drivers/etc не видно и открыть его тоже никак не могу, как было и раньше. Создал новый руками.

Добавлено через 6 минут

Так а в логах что пишут?

**AndreyKa** · 22.02.2010, 00:53

Не видно ничего подозрительного.

Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

**mazum** · 23.02.2010, 21:23

Вроде все нормально, невооруженным глазом ничего не видно. Но вот взял и проверил Касперским, что и как. Получил вот такое -

Код:

Автоматическая проверка: завершено 7 минут назад   (событий: 38, объектов: 161441, время: 01:04:13)	
23.02.2010 19:27:17	Задача запущена			
23.02.2010 20:04:47	Обнаружено: Trojan-Dropper.Win32.Agent.bmcj	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe		
23.02.2010 20:04:47	Обнаружено: Trojan-Dropper.Win32.Agent.bmvs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe		
23.02.2010 20:04:47	Обнаружено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe		
23.02.2010 20:04:47	Не вылечено: Trojan-Dropper.Win32.Agent.bmcj	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe	Отложено	
23.02.2010 20:04:47	Не вылечено: Trojan-Dropper.Win32.Agent.bmvs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe	Отложено	
23.02.2010 20:04:47	Не вылечено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe	Отложено	
23.02.2010 20:04:48	Обнаружено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe		
23.02.2010 20:04:48	Не вылечено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe	Отложено	
23.02.2010 20:04:48	Обнаружено: Trojan-Dropper.Win32.Agent.bmzd	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe		
23.02.2010 20:04:48	Не вылечено: Trojan-Dropper.Win32.Agent.bmzd	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe	Отложено	
23.02.2010 20:04:48	Обнаружено: Backdoor.Win32.Bredavi.bzs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe		
23.02.2010 20:04:48	Не вылечено: Backdoor.Win32.Bredavi.bzs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe	Отложено	
23.02.2010 20:16:15	Обнаружено: Backdoor.Win32.Bredavi.bvt	C:\WINDOWS\system32\gK0ElvT.exe		
23.02.2010 20:16:16	Не вылечено: Backdoor.Win32.Bredavi.bvt	C:\WINDOWS\system32\gK0ElvT.exe	Отложено	
23.02.2010 20:17:06	Обнаружено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\nUlQkWc.exe		
23.02.2010 20:17:06	Не вылечено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\nUlQkWc.exe	Отложено	
23.02.2010 20:17:07	Обнаружено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\okdzPRn.exe		
23.02.2010 20:17:07	Не вылечено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\okdzPRn.exe	Отложено	
23.02.2010 20:31:12	Обнаружено: Trojan-Dropper.Win32.Agent.bmvs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe		
23.02.2010 20:31:20	Удалено: Trojan-Dropper.Win32.Agent.bmvs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe		
23.02.2010 20:31:20	Обнаружено: Trojan-Dropper.Win32.Agent.bmcj	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe		
23.02.2010 20:31:21	Удалено: Trojan-Dropper.Win32.Agent.bmcj	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe		
23.02.2010 20:31:21	Обнаружено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe		
23.02.2010 20:31:24	Удалено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe		
23.02.2010 20:31:24	Обнаружено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe		
23.02.2010 20:31:25	Удалено: Backdoor.Win32.Bredavi.bzk	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe		
23.02.2010 20:31:26	Обнаружено: Trojan-Dropper.Win32.Agent.bmzd	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe		
23.02.2010 20:31:27	Удалено: Trojan-Dropper.Win32.Agent.bmzd	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe		
23.02.2010 20:31:27	Обнаружено: Backdoor.Win32.Bredavi.bzs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe		
23.02.2010 20:31:28	Удалено: Backdoor.Win32.Bredavi.bzs	C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe		
23.02.2010 20:31:28	Обнаружено: Backdoor.Win32.Bredavi.bvt	C:\WINDOWS\system32\gK0ElvT.exe		
23.02.2010 20:31:29	Удалено: Backdoor.Win32.Bredavi.bvt	C:\WINDOWS\system32\gK0ElvT.exe		
23.02.2010 20:31:29	Обнаружено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\nUlQkWc.exe		
23.02.2010 20:31:30	Удалено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\nUlQkWc.exe		
23.02.2010 20:31:30	Обнаружено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\okdzPRn.exe		
23.02.2010 20:31:31	Удалено: Trojan-Dropper.Win32.Agent.bmvs	C:\WINDOWS\system32\okdzPRn.exe		
23.02.2010 20:31:31	Задача завершена

Обновил базы AVZ, запустил скрипты, выкладываю логи. Есть что-нибудь?

**AndreyKa** · 23.02.2010, 21:35

В логах чисто.

**mazum** · 24.02.2010, 21:14

Спасибо. Теперь буду стараться поддерживать в чистоте.

**CyberHelper** · 25.02.2010, 21:14

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус, видоизменяет Hosts (заявка № 71692)

Опции темы

Вирус, видоизменяет Hosts

Итог лечения

Похожие темы

Вирус в hosts

Вирус создал бэкап файла hosts

HOSTS cleaner вирус.

вирус модифицирует файл hosts

Вирус поменял файл hosts

Ваши права в разделе