Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подмена hosts (http://forum.oszone.net/showthread.php?t=255387)

yarosl 03-03-2013 12:50 2103143
Подмена hosts
 
Вложений: 4
Добрый день,

проблема очень похожая на одно из предыдущих сообщений:

появилось подозрение на вирусы - проверился, вылечился разными утилитами - нашлись несколько троянов и еще чего то, НО осталось:
ежедневно в 10:22 какая-то программа меняет hosts с прописыванием в самом конце файла подмены ip на dns различных сайтов. Ни одной антивирусной программой не детектируется, кроме NOD32, который обнаруживает всего лишь подмену hosts. Самого вируса NOD32 не обнаруживает.

Помогите, пожалуйста.
логи avz приложил.

regist 03-03-2013 15:35 2103229
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll','');
  QuarantineFile('C:\windows\system32\dprsrv32.exe','');
  QuarantineFile('C:\windows\tasks\At1.job','');
  QuarantineFile('C:\Users\Evgeny\AppData\Roaming\netprotocol.exe','');
  DeleteFile('C:\Users\Evgeny\AppData\Roaming\netprotocol.exe');
  DeleteFile('C:\windows\tasks\At1.job');
  DeleteFile('C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll');
  DeleteFile('C:\windows\system32\dprsrv32.exe');
  DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Test System Key');
  RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
  ExecuteRepair(3);
  ExecuteRepair(4);
  ExecuteRepair(21);
  ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Если ProxyServer = localhost:3128 сами не прописывали, то
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:3128
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

-------------------------------
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.


-------------------------------

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Смените все пароли! По окончанию лечения смените ещё раз.

--------------------------------------------
virusinfo_autoquarantine.zip - отправьте, через http://www.z-oleg.com/secur/avz/upload_qr.php

yarosl 04-03-2013 00:08 2103638
Вложений: 6
Порт 3128 - прописывал сам - установлен локальный прокси HandyCache для блокирования ненужных сайтов, рекламы и прочего содержимого.
Сделал все рекомендованные действия, во вложении файлы.

Дополнение: сегодня 4.03.13 в 10:22 обновления hosts не произошло, спасибо большое!
я так понимаю, судя по логам, еще остались трояны и подозрение на вирусы?

SolarSpark 04-03-2013 11:06 2103791
найдите C:\Users\Evgeny\AppData\Local\Webalta Toolbar\uninstall.exe и деинсталлируйте вебалту

в МВАМ удалить все кроме

Код:
C:\!Install\MS Office\ru_office_visio_professional_2007_cd_X12-19480\Генератор серийных номеров для корпоративных продуктов 2007 серии\KeyGen.exe (Hacktool.Agent) -> Действие не было предпринято.
C:\mini-KMS\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\t1\VMware Workstation 6.5.0.118166\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\t1\VMware Workstation 6.5.0.118166\keygen2.exe (Riskware.Tool.CK) -> Действие не было предпринято.

yarosl 04-03-2013 13:59 2103924
Вложений: 1
Удалил как рекомендовали, лог приложил,
Спасибо большое за помощь!!!

SolarSpark 04-03-2013 15:29 2103969
Выполните сканирование и обновитесь по ссылкам из лога

Ознакомьтесь рекомендации после лечения

yarosl 04-03-2013 17:41 2104030
Вложений: 1
лог SecurityCheck by screen317 приложил.

akok 05-03-2013 10:37 2104507
Adobe Flash Player 10 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 12.0 Firefox out of Date!


Необходимо обновить.


Время: 18:02.

Время: 18:02.
© OSzone.net 2001-