[решено] Вылеты браузеров, fixhosts.exe, подмена страничек, блокировка программы скачки

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Вылеты браузеров, fixhosts.exe, подмена страничек, блокировка программы скачки

Здравствуйте.
Несколько дней назад у меня возникли проблемы с компьютером и я обратилась на один из форумов, где помогают пользователям. Увы, форум несколько раз был длительное время недоступен, я не уверена, что помощи ещё можно ждать, поэтому обращаюсь к вам.
Начало проблемы я скопирую оттуда.

Цитата:

Вчера, запустив игру Allods, столкнулась с ошибкой Launcher.exe, продолжив попытки подключения, сопровождающиеся получением этой ошибки, вошла в игру, там пропал недавно созданный игровой персонаж.
Побегав по игровому миру какое-то время, вышла из игры и запустила один из своих браузеров семейства Firefox, у меня их 2. Браузер выдал ошибку "Runtime error 204 at 01072748" и тут же закрылся, дальнейшие попытки запуска ни к чему не привели.
Перезагрузила компьютер.
После окна приветствия меня встретила ошибка fixhosts.exe, которая впоследствии продолжала всплывать.
Я вновь сделала попытку открытия браузера. Он вылетел, попробовала другой, тоже Firefox, он же "Firefox столкнулся с проблемой и аварийно завершил работу".
Удалила игру, открыла оперу, через кою сейчас и пишу. Мне требовалось войти на свою страничку вконтакте, коя оказалась вдруг заблокированной по причине подозрительной активности, с утра все было в порядке. Было необходимо принять и отправить смс. Что я и сделала, ничего особо не заподозрив, ибо некоторое время ранее сталкиваясь с подобного рода проблемой входа, только тогда там требовалось лишь принять смс, и ввести полученные данные в окно вконтакта, мне подумалось, что политика сайта могла несколько поменяться. Ответное смс сообщило мне, что для подобной операции у меня недостаточно средств, что было довольно странно, при учете, что на счету лежало чуть меньше 100р.
Далее, заинтересовавшись fixhosts.exe, я попала на этот сайт, в тему с аналогичной проблемой http://.....
Там-то я и узнала, что вконтакт вполне возможно не совсем тот. Набрав в гуле "вконтакт" я тут же попала на свою стену. Никакого намека на заблокированность.
Далее выполнила инструкции, что предлагаются *тот форум* для обращения за помощью и столкнулась с новой проблемой. Download Master перестал качать что-либо, поэтому все закачки осуществлялись через браузер.
При входе в безопасный режим отказались откликаться мышка с клавиатурой, но предложенное у вас решение при помощи AVZ исправило ситуацию.
Dr.Web CureIt! нашел много проблем, среди которых в основном Trojan, зараженный hosts.
Если потребуются поименно, могу предоставить.
После лечения и перезагрузки ошибка fixhosts.exe перестала появляться, но в браузеры так и не войти, как и Download Master не качает.
Как обстоят дела с Internet Explorer - не в курсе, побоялась лишний раз открывать.
Обновление баз AVZ не удалось "Ошибка загрузки файла с описанием обновления".
Извините, если излишне подробно, я не знаю, какая информация может оказаться полезной для оценки ситуации.

Есть старые логи оттуда и мне были предложены некоторые первые шаги, кои не удалось реализовать лучшим образом.
Если это будет необходимым - предоставлю.

Сегодня, после того, как я сделала все приготовления к обращению за помощью на oszone.net, появились новые проблемы.
Включение компьютера и автозапуск Download Master меня встретили следующей ошибкой "Access violation at address 00000000. Read of address 00000000.", после чего залипла мышка и какое-то время отказывалась отзываться на движения, далее системный блок издал писк и мышка отмерла. При последующих включениях подобная ошибка не всплывала, но мышка продолжала на короткое время залипать.
Включила оперу и после какого-то времени прибывания в сети, все сайты перестали загружаться. Браузер вел себя словно нет подключения к сети, я попыталась переключиться. На "разъединить" экранчик никак не реагировал. На попытку открыть "состояние", только лишь мелькало окошко этого состояния, словно призрак, неуловимо, можно было пытаться ещё и ещё.
Диспечер задач отказывался открываться. Как и Internet Explorer. Пришлось перезагрузить, все повторилось по новой, только интернет пропал почти сразу, а дизайн меня "Пуск" с сине-зеленого стал серым, да и перестал как либо откликаться на нажатия, после перезагрузки вернул свой первозданный вид.
Таким образом отключиться от интернета просто так нельзя и завершить работу Windows тоже не всегда возможно, + непонятно, как долго будет работать инет, Download Master не качает и Firefoxы не работают.
По ходу пьесы, в одном из антологичных случаев всплыла ошибка "Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.".
Помогите, чем можете.

И ещё. У меня вопрос по двум процессам.
praetorian.exe
FsUsbExService.Exe
Не подскажете, что это? И надо ли с этим что-то делать?
Спасибо.

Привет, зловред известный, щас полечим и все пройдет) аккуратно выполните все рекомендации

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll');

 DeleteFile('C:\plg.txt');

 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll', '*.*', true);

 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll');

 DeleteFileMask('C:\HtigL0VV7iks4zU', '*.*', true);

 DeleteDirectory('C:\HtigL0VV7iks4zU');

 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\HtigL0VV7iks4zU', '*.*', true);

 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\HtigL0VV7iks4zU');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('SCU',2,3,true);

ExecuteRepair(13);

ExecuteRepair(14);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Выполните сканирование. Лог приложите

Меняем все пароли

Цитата:

Цитата Bafun

И ещё. У меня вопрос по двум процессам.
praetorian.exe
FsUsbExService.Exe »

нормальные процессы, ничего не надо с ними делать

чищу вам Hosts
не забудьте восстановить записи

Код:

127.0.0.1 activate.adobe.com

127.0.0.1 practivate.adobe.com

127.0.0.1 ereg.adobe.com

127.0.0.1 activate.wip3.adobe.com

127.0.0.1 wip3.adobe.com

127.0.0.1 3dns-3.adobe.com

127.0.0.1 3dns-2.adobe.com

127.0.0.1 adobe-dns.adobe.com

127.0.0.1 adobe-dns-2.adobe.com

127.0.0.1 adobe-dns-3.adobe.com

127.0.0.1 ereg.wip3.adobe.com

127.0.0.1 activate-sea.adobe.com

127.0.0.1 wwis-dubc1-vip60.adobe.com

127.0.0.1 activate-sjc0.adobe.com204.9.178.11 typepad.com

Спасибо, что так быстро откликнулись.

Прежде чем приступить, мне хотелось бы узнать

Цитата:

чищу вам Hosts
не забудьте восстановить записи

Где и как именно могу их восстановить?

Цитата:

Цитата Bafun

Где и как именно могу их восстановить? »

по этому пути C:\WINDOWS\system32\drivers\etc открываете файл блокнотом и вставляете туда ниже записи

Код:

127.0.0.1 localhost

вышеперечисленное от adobe.com

Хорошо, только у меня в папке etc 2 hоsts.
Один размером 3кб, другой 1кб.
По содержанию один пустой после

Код:

127.0.0.1 localhost

а у другого далее значится полно сайтов.

оставьте пустой, второй со списком удалите

Все сделала, кроме hоsts. Их снова 2, одного размера и одного содержания.

После выполнения первого скрипта и перезагрузки появилась табличка "ошибка инициализации скачивания".
В то же время пропал интернет. "Подключение по локальной сети ограничено или отсутствует."
Я позвонила своему провайдеру и мы некоторое время выдергивали, вставляли кабель, проверяли подключение всех устройств, ip итд. Перезагрузки так же ничего не приносили, но когда подключился технический специалист и попросил выдернуть на какое-то время кабели и с чем-то там пошаманил на том конце провода, инет заработал после перезагрузки, правда, мы закончили с ним разговор на том, что ко мне завтра приедет специалист, перезагрузку он мне так и не предложил, а она оказалась завершающим элементом.
Сейчас интернет работает без проблем. Download Master качает все, что ранее не качал. Базы обновляются автоматически, а не вручную, как раньше.
WebMoney так же перестал считать, что я не в интернете.
Пока все здорово. В Firefox пока не захожу, не уверена, что время пришло.
Спасибо.

Удалите в МВАМ (потребуется повторное сканирование)

Код:

Registry Keys Detected: 4

HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> No action taken.

HKCR\forgive.eProtocol (Trojan.WebMoner) -> No action taken.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\offsidepoker (PUP.Casino) -> No action taken.

HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.





Files Detected: 18

C:\Documents and Settings\Admin\DoctorWeb\Quarantine\dgm.exe (Adware.Agent) -> No action taken.

C:\Documents and Settings\Admin\DoctorWeb\Quarantine\pdwa.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Admin\DoctorWeb\Quarantine\uhcd.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Admin\DoctorWeb\Quarantine\wtsx.exe (Trojan.Agent) -> No action taken.

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\EdaHUta4uv2vB.dll');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('SCU',2,3,true);

ExecuteRepair(14);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи AVZ + RSIT

______________________________________

Пароли смените, особенно на WebMoney

после скрипта проблемы с сетью были?

как самочувствие системы?

Цитата:

Цитата Bafun

Все сделала, кроме hоsts. Их снова 2, одного размера и одного содержания. »

удалите второй (дата создания у файла более поздняя)

Цитата:

Цитата SolarSpark

после скрипта проблемы с сетью были? »

Нет, в этот раз все хорошо.
Не знаю, насколько уместно это связывать с отсутствием проблем, но в прошлый раз интернет был включен при запуске лога, а в этот раз я его предварительно отключила.

Что касается системы, у меня впечатление, что некоторые процессы стали быстрее. Даже на сканирование Malwarebytes Anti-Malware ушло меньше времени.

Более поздний hоsts удалила, в оставшемся восстановила записи.

Уже можно пробовать Firefox?

Опять появился новый hоsts, в добавок к имеющемуся.

Цитата:

Цитата Bafun

Опять появился новый hоsts, в добавок к имеющемуся. »

нехорошо это

давайте еще один лог сделаем

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

SolarSpark, может, Dr.Web CureIt! как-то виноват, когда проблема только случилась и я проводила сканирование при помощи CureIt! в безопасном режиме, он нашел зараженный hоsts, подцепивший Trojan.Hosts.5571.
В ходе проверки, в дальнейшем, он предложил что-то сделать с hоsts, но не удалить и не поместить в карантин, что-то говорилось про "оставить в "нормальном/первозданном/изначальном виде". Увы, дословно не помню, я тогда нажала ок.
Кстати, если пригодится протокол после проверки CureIt!, он у меня есть, если может помочь.

Сделаю, только у меня вопрос, в ходе работы ComboFix будет предложено установить Rеcоvеry Cоnsоlе, устанавливать?

Цитата:

Цитата Bafun

в ходе работы ComboFix будет предложено установить Rеcоvеry Cоnsоlе, устанавливать? »

можете отказаться, давайте пока сделаем вот что

удалите оба файла hоsts, потом создайте в той же директории новый (текстовый файл без расширения)
пропишите в нем/скопируйте и вставьте

Код:

127.0.0.1 localhost

, сохраните без атрибутов, перегрузитесь и смотрим появится ли второй

если появится, делаем лог ComboFix, от установки консоли можете отказаться

Цитата:

Цитата SolarSpark

потом создайте в той же директории новый (текстовый файл без расширения) »

Думаю, мне понадобится маленький урок по созданию текстовых файлов без расширения.
Пока все, что я могу - это нажать правой кнопкой мыши в окне папки, выбрать "Создать", там будет перечень вариантов, от Портфеля до Архива и любой из них, насколько я понимаю, уже имеют заданный формат, будь то .txt, .xls, .doc, как это обойти, я не знаю.
И должен ли этот новый текстовой файл иметь название hоsts, если нет, то как он должен называться?

создаете в блокноте текстовый файл с именем hоsts .. сохраняете его.. он у вас будет с расширением .txt, затем на файле правой кнопкой мыши, смотрим свойства файла удаляем после имени hоsts расширение .txt, сохраняем

Спасибо)

Удалив 2 hоsts и даже не успев до конца создать новый, увидела вновь появившийся hоsts.
Похоже пора приступать к сканированию.

Только у меня ещё вопрос, в etc имеется не только hоsts, есть так же
lmhosts
networks
protocol
services.
Может, кто-то из них так же лишний?

остальные все наши) выполняйте сканирование

Сканирование прошло неудачно. Все 3 раза.
В первый раз, запустив, отошла от компа и вернувшись обнаружила, что он перезагружен, всплыла табличка "Система восстановлена после серьезной ошибки".
Не поняв, что, собственно, случилось, пока меня не было и не обнаружив логов, запустила ComboFix ещё раз и теперь уже дежурила у компа.
Сканирование произвело 50 шагов, после этого хотел начаться процесс удаления, но компьютер тут же отрубилился несколько непривычным по звучанию образом.
Пошла перезагрузка.
Табличек про ошибки больше не было, как и лога.
Вновь попыталась обзавестись логом, запустив ComboFix, но ровно то же самое.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

Сделано.

Ещё немножко настораживает twitter, читаю его без авторизации.
Ранее, до начавшихся проблем с Firefox и прочим, при просмотре twitterа через Оперу все было в порядке.
Теперь же: "Загрузка твитов может занять некоторое время. Вероятно, Твиттер перегружен или испытывает временные трудности. Повторите попытку или получите более подробную информацию о состоянии Твиттера", никакие твиты при этом не отображаются, ни старые, ни новые, ни спустя пару минут, ни спустя дни, в то время как Chrome спокойно твиты читает.
Опера тоже может явить чудо, если зайти на одну из читаемых страничек через гугл и поиграть с добавлением/отбвлением s в http, потом закрыть последнюю страничку и обновить ранее открытые.

Попробуйте запустить Combofix из безопасного режима

Цитата:

Цитата alex_sev

Попробуйте запустить Combofix из безопасного режима »

50 шагов, пошло удаление, в этот раз процесс не прервался сразу, что-то начало удаляться, через какое-то время произошла перезагрузка и при старте программа попросила не открывать приложения, пока она составляет лог, но у меня несколько программ имеют автозапуск, поэтому могли возникнуть сложности, в окошке ComboFix перестала мелькать "-" черта и мне уже подумалось, что он завис и придется все повторить, предварительно отключив автозапускающиеся программы, но ComboFix ожил, произошла перезагрузка, после неё ComboFix не показывался, никакой лог не был выведен.
На диске С появились папки Qoobox и ComboFix. По адресу C:\ComboFix.txt не обнаруживается лога, но в паке ComboFix находится текстовый документ с аналогичным названием, кой я и прилагаю.
Если это не то, что нужно(или сформировано не до конца), то подскажите, при последующем создании лога лучше во время первой перезагрузки вернуться в безопасный режим, что бы ComboFix формировал лог там или это может нарушить ход процесса и ComboFix не продолжит свою работу в автоматическом порядке. Либо же стоит убрать у всех программ автозапуск при старте? Но тогда у меня проблема с µTorrent, не могу найти где можно отменить его запуск.

Так же появилось на панели задач "Оповещение системы безопасности", кое рассказывает мне о том, что у меня нет защиты от вирусов и автоматическое обновление отключено, как и брандмауэр.

Привет, изменения в лучшую сторону есть?

Цитата:

Цитата Bafun

Так же появилось на панели задач "Оповещение системы безопасности" »

пуск-панель инструментов-центр обеспечения безопасности-изменить способ оповещений ЦБ-снять галочки

Привет.
Ой, поверить не могу, что за магия! Firefoxы работают!
Спасибо большое!

Правда, тут же после запуска Firefox, вконтакте - "мы обнаружили подозрительную активность и временно заморозили Вашу страницу, чтобы вырвать ее из рук злоумышленников", что являлось истинным сообщением от vk.com. Теперь все в порядке.

Если можно, порекомендуйте защиту, комп голый)

Да, и как я могу вас отблагодарить за этот интересный и полезный экскурс в неизведанное?

ну и славно, пароли сменили?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата:

Цитата Bafun

порекомендуйте защиту, комп голый) »

любой антивирус на ваш выбор, лишь бы обновлялся вовремя
+ обязательно выполните рекомендации после лечения

Если проблемы исчерпаны, ставьте префикс темы РЕШЕНО
чистого инета

Цитата:

Цитата Bafun

Да, и как я могу вас отблагодарить за этот интересный и полезный экскурс в неизведанное? »

лично мне под моим постом нажимайте "Полезное сообщение"

если есть желание, можете отблагодарить ресурс Ассоциации

Цитата:

Цитата SolarSpark

ну и славно, пароли сменили? »

Вот на вконтакте нет. Теперь да. Меня можно ставить в пример тем, кто собирается совершить ту же ошибку)

Сделано.

Цитата:

Цитата SolarSpark

любой антивирус на ваш выбор, лишь бы обновлялся вовремя »

Учту. Просто до меня доходили мнения, что Касперский очень тормозит систему, кто-то менее хорошо справляется с атаками, в общем, они все разные и вдруг есть какой-то более оптимальный вариант.

Цитата:

Цитата SolarSpark

+ обязательно выполните рекомендации после лечения »

Ок.

Цитата:

Цитата SolarSpark

чистого инета »

Спасибо! И вам)

Цитата:

Цитата SolarSpark

лично мне под моим постом нажимайте "Полезное сообщение"
если есть желание, можете отблагодарить ресурс Ассоциации»

С удовольствием, и то и то, а так же alex_sev.