Не могу изменить файл Hosts

[Диди]

Здравствуйте. Помогите разобраться с моим компьютером. У меня проблема с файлом Hosts при открывании через блокнот там написано следующее:

# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

## Кроме того, в некоторых строках могут быть вставлены комментарии

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом #.

## Например:

## 102.54.94.97 rhino.acme.com # исходный сервер

# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

потом очень много пробелов и потом это:

127.0.0.1 timp.ru urlbl.ru workandtalk.ru neklassniki.ru vkanonim.ru nekontakt2.ru

127.0.0.1 webmurk.ru waitplay.ru xy4-anonymizer.ru v.vhodilka.ru adminimus.ru netdostupa.com

127.0.0.1 nezayti.ru unboo.ru anonim.do.am nemir.ru hellhead.ru vhodilka.ru ok-anonimaizer.ru

127.0.0.1 jelya.ru pinun.ru razblokirovatdostup.ru antiblock.ru dardan.ru spoolls.com

127.0.0.1 o.vhodilka.ru cameleo.ru obhodilka.ru raskruty.ru websplatt.ru diazoom.ru anonim.ttu.su

127.0.0.1 anonymizer.ru dostupest.ru anonimix.ru webvpn.org anonimvk.ru dostyp.ru

 

И там еще один файл hosts расширением ВАК. Я удаляла ненужные записи. но после перезагрузки все появляется заново. Ативирусом проверяла, антивирус пишет что файл изменен, вернуть в правильное состояние, а после перезагрузки все опять возвращается заново. Еще теперь при включении компьютера появляется черное окошко там написано С\windows\system32\cmd.exe. а в черном окошке написано скопированных файлов: 1

Пыталась через AVZ файл - восстановление системы- п. 13. после перезагрузки все возвращается опять.

Скачала Microsoft Fix (кажется) для восстановления файла Hosts не помогло то же.

 

При быстрой проверке kaspersky Security scan обнаружены Другие проблемы (19)

1. "Microsoft Internet Explorer: разрешено использование элементов ActiveX, не помеченных как безопасные"

2. "Microsoft Internet Explorer: разрешена загрузка подписанных элементов ActiveX без запроса"

3. "Microsoft Internet Explorer: разрешена загрузка неподписанных элементов ActiveX"

4. "Microsoft Internet Explorer: разрешены автоматические запросы элементов управления ActiveX"

5. "Microsoft Internet Explorer: разрешен запуск программ и файлов в окне IFRAME"

6. "Включен автозапуск с жестких дисков"

7. "Включен автозапуск с сетевых дисков"

8. "Включен автозапуск с CD/DVD"

9. "Включен автозапуск со съемных носителей"

10. "Microsoft Internet Explorer: разрешено использование элементов ActiveX, не помеченных как безопасные"

11. "Microsoft Internet Explorer: разрешена загрузка подписанных элементов ActiveX без запроса"

12. "Microsoft Internet Explorer: разрешена загрузка неподписанных элементов ActiveX"

13. "Microsoft Internet Explorer: разрешены автоматические запросы элементов управления ActiveX"

14. "Microsoft Internet Explorer: разрешен запуск программ и файлов в окне IFRAME"

15. "Microsoft Internet Explorer: очистить историю набранных URL-адресов"

16. "Microsoft Internet Explorer: отключить кэширование данных, полученных по защищенному каналу"

17. "Microsoft Internet Explorer: отключить отправку отчетов об ошибках"

18. "Microsoft Internet Explorer: удалить cookies"

19. "Microsoft Internet Explorer: включить автоматическую очистку кэша при завершении работы браузера"

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 27 декабря, 2012 пользователем Диди

[Tiare]

Диди, здравствуйте.

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\4687406FdOh','');
DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\4687406FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4687562');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

O4 - HKLM\..\Run: [4687562] cmd.exe /c copy C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\4687406FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

 

если не используте webalta - поиск, пофиксите тоже

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

 

 

+

1) Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

2) У вас в системе несколько антивирусов: eset smart security и avast. Оставьте один - другой деинсталлируйте.

 

3) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

[Диди]

Отправить на проверку Quarantine.zip из папки AVZ не могу мне пишет: Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

Код

O4 - HKLM\..\Run: [4687562] cmd.exe /c copy C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\4687406FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

 

если не используте webalta - поиск, пофиксите тоже

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

 

Этих строк у меня нет.

 

Оставила антивирус один - Аваст

virusinfo_syscheck.zip

virusinfo_syscheck.zip

hijackthis.log_2.txt

mbam_log_2012_12_27__23_04_50_.txt

[Roman_Five]

Этих строк у меня нет.

есть. об этом свидетельствует последний лог Hijackthis (кстати, требовалось 2 лога RSIT)

пофиксите:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)

 

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре:  2
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Объекты реестра обнаружены:  5
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные файлы:  2
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

После удаления откройте лог и прикрепите его к сообщению.

 

проверьте на virustotal.com

E:\ЧЕК товарный\Spamp_Check_Blank\Не сядь по Статье 327\Делать чеки\Кассовые чеки 1\loader.exe

ссылку на результат проверки приложите.

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

[Диди]

Добавляю 2 лога RSIT

 

virustotal.com

проверьте на virustotal.com

Код

E:\ЧЕК товарный\Spamp_Check_Blank\Не сядь по Статье 327\Делать чеки\Кассовые чеки 1\loader.exe

 

Пыталась посмотреть что это вообще за папка, а МВАМ написало что там троян, но эта папка в компьютере уже очень давно, и не один антивирус на нее не ругался, когда раньше делала проверку

 

https://www.virustotal.com/file/bd7d0786821...sis/1356704807/

 

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

info.txt

log.txt

AdwCleaner_R1_.txt

Изменено 28 декабря, 2012 пользователем Диди

[Roman_Five]

После удаления откройте лог и прикрепите его к сообщению.

новый лог MBAM забыли...

 

логи RSIT до фиксов:

пофиксите:КодR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/searchR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/searchR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/searchR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/searchR3 - URLSearchHook: (no name) -  - (no file)O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)

а надо после.

 

поисковиком от ICQ пользуетесь? если нет - запустите AdwCleaner и нажмите DELETE

новый лог приложите.

[Диди]

итата(Roman_Five @ 28.12.2012, 15:42)

После удаления откройте лог и прикрепите его к сообщению.

новый лог MBAM забыли...

 

Нет я не забыла, у меня сейчас сканирует МВАМ чтобы я смогла удалить, как только закончит удалю нужные строки сделаю лог

 

поисковиком от ICQ пользуетесь? если нет - запустите AdwCleaner и нажмите DELETE

новый лог приложите.

AdwCleaner_S1_.txt_1.txt

[Roman_Five]

запустите adwcleaner после перезагрузки и сделайте новый лог. там кое-что должно удалить позже...

[Диди]

запустите adwcleaner после перезагрузки и сделайте новый лог. там кое-что должно удалить позже...

 

 

Не работал интернет вот этот файл

AdwCleaner_S1_.txt_1.txt

[Roman_Five]

не тот файл.

 

запустите adwcleaner после перезагрузки и сделайте новый лог. там кое-что должно удалить позже...

[Диди]

Цитата(Roman_Five @ 28.12.2012, 18:36)

запустите adwcleaner после перезагрузки и сделайте новый лог. там кое-что должно удалить позже...

AdwCleaner_R5_.txt_1.txt

[Roman_Five]

Нет я не забыла, у меня сейчас сканирует МВАМ чтобы я смогла удалить, как только закончит удалю нужные строки сделаю лог

если в MBAM всё удалили - деинсталлируйте MBAM.

на этом всё.