Помощь Очистка системы от вирусов

BIG MaD

Модератор
На диске С увидел скрытую папку systemhost, просканировал её NOD, и вот выдало это сообщение
C:\systemhost\32EF58D6A5B6B8E - Win32/Spy.SpyEye.CFG.A троянская программа
а к чему пост?
вопрос какой то есть или ещё что?
или есть желание помериться у кого сколько вирусов?
или уж тогда скажите какой стоял антивирусник?
 

sobr

Ословед
Вопрос в том , что с этим трояном делать, и как его удалить, nod32 не хочет удалять его.
 

BIG MaD

Модератор
касперский
ну либо вручную - unlocker - вроде так пишется прога.
либо Dr.Web CureIt!
а потом поставить касперского.
 
Не понимаю, почему еще нет в 1 посте сслки на Universal Virus Sniffer.
Программа давно себя зарекомендовала, постоянно ей пользуюсь, спасает всегда 100%. Уже 2 года не переустанавливаю ОС в обслуживаемых организациях.
Умеет убирать смс блокеры, работать можно из под другой винды, подцепив диск; разблокирует проводник; отчищает всевозможные временные хранилища файлов, в т.ч. и у веб-браузеров; проводит поиск активных файловых вирусов.

Посмотреть вложение 2687763
http://dsrt.dyndns.org/uvs.htm
 

coolyok

Ословед
Я не спорю, что программа сама по себе хороша. И даже не побоялся бы ее скачать с softopedia по ссылке внизу страницы, но русскую локализацию размещенную на http://dsrt.dyndns.org/uvs.htm побоялся.

Хотя, поиском нашел её на http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/ где указан сайт автора, значит мои подозрения напрасны:yes:
oszone.net можно доверять:yes: сразу забираю к себе в инструменты

Считаю что ссылку в первом после лучше давать на oszone, чтобы сразу отметать подозрения.
 

MiG

Ословед
Просветите, что за процесс "dllhost.exe" описание "COM Surrogate"? Время от времени появляется в процессах, причем все начинает страшно лагать, у kis2013 25% использования процессора, хотя проверок ни каких не делает.
 

unbreakable

Модератор
Просветите, что за процесс "dllhost.exe" описание "COM Surrogate"? Время от времени появляется в процессах, причем все начинает страшно лагать, у kis2013 25% использования процессора, хотя проверок ни каких не делает.


Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах.

В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе, например:

* W32/Lovelet-Y (%SystemRoot%\dllhost.com, %SystemRoot%\System32\dllhost.com) - этот червь копирует себя в 22 различных директории на вашем жестком диске, что усложняет его удаление.
* W32/Nachi-A (%SystemRoot%\Wins) - Этот червь распространяется через RPC DCOM уязвимость в Windows XP.
* W32/Rungbu-B (%SystemRoot%\setup\dllhost.com, %SystemRoot%\System32\dllhost.com) - жтот червь заражет .DOC файлы и распространяется по почтовым адресам в вашей адресной книге.
* Troj/Sivion-A (%SystemRoot%\System32\System\dllhost.exe)
* W32/Lovelet-DR (%SystemRoot%\System32\dllhost.dll) Подробнее: http://www.securitylab.ru/processinfo/265827.php

Проверьте Dr.Web CureIt! на всякий случай или AVZ.
 

MiG

Ословед
Проверьте Dr.Web CureIt! на всякий случай или AVZ.
Все кончилось сносом системы, не один портативный ни чего не нашел, пляски с бубном привели к съеданию Kis2013 1.5Gb оперативки и лагам, удалил его, ну и как ожидалось после этого установка антивирусников стала блокироваться. Походу что то новенькое раз в базах еще нет...
Возможно. А ещё возможно, что KIS ставили уже на заражённую систему.
Я примерно предполагаю от куда пакость http://city.is74.ru/forum/index.php?posts/24184173. в Keygen был обнаружен Trojan.Win32.TDSS.iukg......, при установке, этой программы ни каких возбуханий 1.5 месяца назад не было((((( Сочетание такой специфической программы + трояна = бомба))
 

unbreakable

Модератор
Проверьте Dr.Web CureIt! на всякий случай или AVZ.
Все кончилось сносом системы, не один портативный ни чего не нашел, пляски с бубном привели к съеданию Kis2013 1.5Gb оперативки и лагам, удалил его, ну и как ожидалось после этого установка антивирусников стала блокироваться. Походу что то новенькое раз в базах еще нет...

Возможно. А ещё возможно, что KIS ставили уже на заражённую систему.
 
Здраствуйте.Посоветуйте что делать.Не могу зайти только на сайты касперского.Проверял диски kasperskyremovaltool и avz все удалил и вылечил(но все равно не зайти не могуя).
 

BIG MaD

Модератор
АВЗ - сделать восстановление системы (в меню файл)
там и хостс скидывает.
по мне эта прога не для лечения, а для восстановление винды после удаления вирусов.
 

Revenan

Выживший
Доброе время суток не знаю в правильную тему пишу или нет у меня проблема не знаю что делать [h=2][/h][h=2]
[/h]

[FONT=&quot]AVG Internet Security 2014 14.0.4116 Final Multi нашел 31 рутик, но удалять не хочет[/FONT]:fie1:Посмотреть вложение 2954000[FONT=&quot][/FONT]
Что делать?



[h=2][/h]
 

Revenan

Выживший
Здраствуйте. При запуске системы(виндоус 7) моментально открывается бразуер (опера 16) и выводит сайт http://fenixxgames.com. Вбил решения проблемы в яндексе, но все варианты не помогли. я Удалял браузер, и ставил новый. я также делал это:Либо Пуск - Выполнить - msconfig - Автозагрузка - там сними галочку с браузера. Затем использовал два антивируса поверрх моего, они нашли и хост и еще пару вирусов и удалил их, но все тщетно. программа с которой у меня скачался вирус это: Celtx. Кто мне может помочь? прошу помогите:tears::fie1::(! Заранее большое спасибо!
 

babayka

Ословед
Здраствуйте. При запуске системы(виндоус 7) моментально открывается бразуер (опера 16) и выводит сайт http://fenixxgames.com. Вбил решения проблемы в яндексе, но все варианты не помогли. я Удалял браузер, и ставил новый. я также делал это:Либо Пуск - Выполнить - msconfig - Автозагрузка - там сними галочку с браузера. Затем использовал два антивируса поверрх моего, они нашли и хост и еще пару вирусов и удалил их, но все тщетно. программа с которой у меня скачался вирус это: Celtx. Кто мне может помочь? прошу помогите:tears::fie1::(! Заранее большое спасибо!
Лечащая утилита Dr.Web CureIt!® в помощь.
 

Revenan

Выживший
Здраствуйте. При запуске системы(виндоус 7) моментально открывается бразуер (опера 16) и выводит сайт http://fenixxgames.com. Вбил решения проблемы в яндексе, но все варианты не помогли. я Удалял браузер, и ставил новый. я также делал это:Либо Пуск - Выполнить - msconfig - Автозагрузка - там сними галочку с браузера. Затем использовал два антивируса поверрх моего, они нашли и хост и еще пару вирусов и удалил их, но все тщетно. программа с которой у меня скачался вирус это: Celtx. Кто мне может помочь? прошу помогите:tears::fie1::(! Заранее большое спасибо!
Лечащая утилита Dr.Web CureIt!® в помощь.

не помогает :cry2:уже всеми утилитами
 

babayka

Ословед
Здраствуйте. При запуске системы(виндоус 7) моментально открывается бразуер (опера 16) и выводит сайт http://fenixxgames.com. Вбил решения проблемы в яндексе, но все варианты не помогли. я Удалял браузер, и ставил новый. я также делал это:Либо Пуск - Выполнить - msconfig - Автозагрузка - там сними галочку с браузера. Затем использовал два антивируса поверрх моего, они нашли и хост и еще пару вирусов и удалил их, но все тщетно. программа с которой у меня скачался вирус это: Celtx. Кто мне может помочь? прошу помогите:tears::fie1::(! Заранее большое спасибо!
Лечащая утилита Dr.Web CureIt!® в помощь.

не помогает :cry2:уже всеми утилитами
Файл hosts в Windows 7



Все о Windows 7

Сегодня поговорим с вами о файле hosts в Windows 7 и рассмотрим самые волнующие и интересные вопросы которые его касаются. тут можно составить целый список вопросов которые Мы с Вами рассмотрим в данной статье. Ну и наконец вы сможете скачать чистый файл себе на компьютер, или сами восстановить его.
Итак перейдем к делу. И начнем рассмотрение основных вопросов, которые я перечислил выше.

1. Для чего нужен файл Hosts



Данный файл устанавливает соответствие между IP сервером и доменом сайта. С помощью него вы можете ускорить обращение к сайту прописав IP и домен тем самым обходя DNS сервер, блокировать доступ к нежелательным сайтам (это применяется в большинстве вредоносных программ). Когда Вы устанавливаете какие то кряки к программам, которые могут запрашивать обновления, то в hosts записываются адреса серверов на которых программа проверяет наличие обновлений для того, чтобы она не смогла этого сделать так как hosts заблокирует ее. Так же при создании локального сервера у себя на компьютере так же нужно прописывать дополнительные значения именно в этот файл.
Кратко можно сказать, что файл hosts отвечает за доступ к web-ресурсам.

2. Где лежит файл hosts



Для того, чтобы понять где находится данный файл нужно пройти по пути C:\Windows\System32\drivers\etc в открывшейся папке Вы его и уведите, ели же там его нет, то чуть ниже сможете скачать его или прочитать как создать файл самому.

3. Как открыть файл Hosts и изменить его в Windows 7?​



Для того, чтобы изменить файл, нужно сначала открыть его. Для того, чтобы это сделать, сделайте двойной щелчек левой кнопкой мыши. Перед Вами появится окно выбора программы, выберите блокнот и нажмите "Ок". Файл откроется. Теперь вы сможете просмотреть содержимое и изменить сам файл.
Стандартный hosts должен выглядеть так:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

localhost name resolution is handled within DNS itself.
127.0.0.1 localhost
::1 localhost



Если же вы хотите заблокировать какой то сайт, например в контакте,то в hosts нужно прописать в конце:
127.0.0.1 vk.com
(ip везде одинаковый потом нажимаем клавишу Tab и вводим сайт, который хотим заблокировать)
После этого сохранить изменения и перезагрузить компьютер.
Почему же происходит блокирование сайта?
Все потому, что когда вы вводите адрес, то Windows 7 оценивает файл hosts и видит, что данному адресу соответствует локальный ip и система начинает искать этот сайт внутри себя, а так как его там нету, то выдает ошибку что страница не существует.
Может возникнуть проблема, что Windows 7 не разрешит сохранить там файл, тогда сохраните его в другом месте, потом удалите старый из папки etc и вставьте туда вновь сохраненный, только удалите разрешение .txt если оно осталось.

Для того, чтобы изменения вступили в силу необходимо перезагрузить Windows 7. После перезагрузки заблокированный сайт не сможет открыть ни один браузер на компьютере (включая браузеры опера, мозила).


Прошерсти автозагрузку, и сними галочки с подозрительных загрузок. Пуск-Выполнить-msconfig-Автозагрузка. Почисти диски от мусора, а заодно и реетр. Можно использовать, хотя бы CCleaner.
P.S.
[h=1]Секреты файла hosts[/h]
После некоторого затишья вновь пошла волна вопросов на тему «Не открывается страница..», «не могу войти на сайт…». Правило здесь одно – начать проверку с файла hosts.
[h=3]Что такое файл hosts[/h]Начнем с того у каждого сайта есть текстовое название и соответствующий уникальный цифровой код. Обычно в адресной строке мы пишем текстовый адрес сайта, поскольку так нам удобнее. Как только мы ввели название сайта, тут же специальный DNS-сервер преобразует это название в цифровой код – IP-адрес.
Файл hosts предназначен для ускорения доступа к сайту в обход DNS-сервера. То есть, если мы сами пропишем здесь пару IP-адрес и имя сайта, то обращения к DNS- серверу не будет.
Теперь вы понимаете, что если прописать эту пару неверно, то и переход будет не туда, куда вы ожидали или вообще никуда.
Вот эту особенность и используют вредоносные программы, дописывая в hosts неверные пары — IP адрес и имя сайта.
[h=3]Исправление файла hosts.[/h]Файл hosts текстовый и его легко исправить самому. Расположен он по адресу

c:/windows/system32/etc

О том, как его исправить и как выглядит файл hosts для разных ОС– очень подробно было написано здесь.
ВНИМАНИЕ! В папке etc кроме файла hosts находятся другие файлы, которые предназначены для настройки сети. Это networks, protocol, services,hosts, lmhosts.sam. НЕ УДАЛЯЙТЕ эту папку совсем!.
Вы можете исправить файл hosts с помощью:
  • утилиты Microsoft Fix it — перейдите на сайт к его создателям и проделайте это двумя щелчками мыши.
  • утилиты AVZ — очень подробно об этом написано здесь.
  • при проверке компьютера с помощью бесплатной утилиты CureIt от DrWeb.
  • исправление вручную.
При исправлении файла hosts вы должны знать о том, что здесь есть подводные камни. Вирусописатели используют нехитрые, но вполне эффективные уловки, чтобы подсунуть нам фиктивный файл hosts. Поэтому, если вы не можете открыть сайт и собираетесь проверить файл hosts, будьте предельно внимательны.
[h=3]Какой файл hosts вы правите?[/h]Если вы проверяете свой hosts и либо не находите его совсем, либо считаете его правильным, проведите дополнительный анализ. Вам потребуется дополнительное умение, чуть больше чем обычное владение блокнотом. Но — ничего сложного.
В этом разделе собраны наиболее часто встречающиеся уловки, с помощью которых злоумышленники пытаются помешать пользователю исправить файл hosts.
[h=4]Уловка 1 - перенаправление в реестре[/h]Если вы не можете войти на сайт, а ваш файл hosts верный или вы не находите hosts в папке С:\windows\system32\drivers\etc\, значит вирус подменил расположение файла в ключе реестра.
Чтобы избавиться от вируса, выполните следующие действия:
1. Пуск — Выполнить — regedit.exe.
2. В окне редактора реестра найдите ветку -
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Во вкладке Parameters в правой части окна появится меню с именем файла, его типом и значением. Проверьте значение параметра DataBasePath. Должно быть %SystemRoot%\System32\drivers\etc. Если это не так, то кликаем правой кнопкой мыши на этой строке, выбираем Изменить, и вводим правильное значение.

Даже если hosts у вас там, где нужно, но операционная система использует тот файл, путь к которому указан параметром DataBasePath.
[h=4]Уловка 2 — вставка пустых строк.[/h]Чтобы обнаружить лишние строчки в файле hosts было сложнее, они записываются в самый конец файла после большого количества пустых строк.
С первого взгляда такой файл выглядит нормально и при беглом взгляде мы можем ничего не заметить, однако надо всегда обращать внимание на ползунок полосы прокрутки в Блокноте:
Если ползунок присутствует, то его надо опустить вниз, чтобы посмотреть содержимое файла полностью. Зачастую это оказывается полезным, т.к. внизу файла мы можем найти неприятные сюрпризы:
[h=4]Уловка 3 — скрытие файла.[/h]Файлу hosts присваивается атрибут Скрытый, и он становится не виден — нету файла hosts. А поскольку по умолчанию скрытые файлы и папки не отображаются в проводнике, то пользователь может не найти этот файл, а значит не может и отредактировать его.
Если у вас нету файла hosts, значит нам надо сделать его видимым. Для этого в Windows XP делаем следующее: Пуск – Панель управления – Свойства папки – вкладка Вид – установить признак Показывать скрытые файлы и папки – нажать Ok (в Windows 7 все то же, но вместо Свойства папки пункт называется Параметры папок).

[h=4]Уловка 4 — подложный файл с похожим названием.[/h]Создается ложный файл без расширения, но имеющий схожее название, например файл host. А настоящий файл hosts при этом делают скрытым.
В этом случае мы опять редактируем ложный файл, а настоящий остается без изменений. Такой файл (host) можно тоже смело удалять!
[h=4]Уловка 5 — изменение расширения.[/h]Создается ложный файл hosts, который в отличие от настоящего файла имеет какое-нибудь расширение (например .txt). А поскольку по умолчанию для зарегистрированных типов файлов расширения не отображаются, то пользователь а следовательно мы можем легко перепутать файлы и редактировать совсем не тот файл.
[h=4]Уловка 6 — невозможно отредактировать файл hosts.[/h]И еще одна вещь, на которую слишком торопливые часто не обращают внимание.
Вы нашли правильный файл hosts, обнаружили в нем лишние строки, начинаете править, но изменения не сохраняются. А все потому, что вашему файлу hosts присвоен атрибут «Только чтение».

[h=4]Уловка 7 — настройка прокси.[/h]Не буду сильно заморачиваться на прокси, просто проверьте настройки своего браузера.
Opera: Общие настройки (Ctrl+F12) — Расширенные — Сеть — кнопка Прокси

Firefox: Настройки->Дополнительно->вкладка Сеть — Настроить

По умолчанию там стоит галочка «использовать системные настройки прокси», переключите на “Без прокси”, попробуйте сохранить настройки и перезапустить браузер.
Если стоит ручная настройка и прописан адрес прокси сервера, при этом вы его не устанавливали: сохраните адрес, удалите его, переведите в режим «без прокси».
Открываем наш редактор реестра (используйте сочетание клавиш Win+R), нажимаем CTRL+F (поиск) и вставляем сохраненный адрес, затем — найти далее… Все ключи с данным адресом нужно будет изменить, а именно удалить присвоенное им значение нашего адреса.
Перезагружаем Windows и проверяем.
[h=3]Использование hosts в своих целях.[/h][h=4]Способ 1 — ускорить доступ к сайту с помощью hosts.[/h]Если мы часто посещаем какой-либо сайт (например, yandex.ru), то можно добавить в конец файла hosts такие строки:
87.250.250.11 yandex.ru
87.250.250.11 www.yandex.ru
Браузер, обнаружив эти строки, не будет обращаться к DNS-серверу, а значит, процесс загрузки данного сайта будет проходить быстрее.
[h=4]Как узнать IP сайта?[/h]Да хотя бы здесь.

[h=4]Способ 2 — запретить доступ к сайту.[/h]Можно заблокировать нежелательные сайты, назначив против их имени либо локальный IP 127.0.0.1. либо IP какого-то другого сайта.
Например, по журналу вы видите, что ребенок часами играет в танчики. Строки в hosts файле вида:
127.0.0.1 tankionline.com
127.0.0.1 www.tankionline.com
вообще закрывает доступ к этому сайту (сообщение об ошибке при соединении).
А строка вида
81.176.66.163 kiss.ru
работает изощреннее. При попытке ввести в браузере kiss.ru будет происходить соединение с IP 81.176.66.163, т.е. с библиотекой Мошкова.
Как видите, мы можем сделать то же самое что и вирусы, но уже с пользой.
Можно заблокировать наиболее зловредные баннерообменные сети и прочие рассадники рекламного мусора. Например строка вида:
127.0.0.1 www.bannerdrive.ru
отключит загрузку баннеров с www.bannerdrive.ru. В принципе, в интернете можно найти очень большие (до 1 МБ) файлы hosts, в которых вписаны (блокированы) тысячи рекламных серверов.
Но не увлекайтесь этим особо — большие (от нескольких десятков кБ) файлы hosts требуют заметного времени на их просмотр, что подтормаживает работу. Но сильно экономить строки тоже не надо — файлы до 10 кБ ничего не тормозят даже на старых машинах, а 10 кБ — это многие сотни строк.
[h=3]Особенности правки файла hosts в Windows 8.[/h]В Windows 8, в отличие от предыдущих версий, изменен порядок редактирования файла hosts. Разработчики уделили этому вопросу гораздо больше внимания. И связано это с более жесткими требованиями к безопасности системы и защите столь важного файла от посягательств из вне.
Эту защиту осуществляет встроенный антивирус Windows Defender — при внесении любых изменений в файл hosts, Windows 8 автоматически удалит их, защитив систему от атак злоумышленников. Но для более опытных и уверенных в себе пользователей существует один способ обхода данной защиты.
  • Открываем окно самого защитника. Для этого перейдите на стартовый экран и вызовите боковую панель Charms Bar. Если вы успели принарядить свою систему и установили windows 8 темы такие, что система изменилась до неузнаваемости, то воспользуйтесь сочетанием клавиши Windows Win+C
  • Зайдите в поиск и введите запрос «Defender».
  • Кликаем на показанной строке. Откроется окно, в котором нужно перейти на вкладку «Параметры», выбрать «Исключенные файлы и расположения» и нажать кнопку «Обзор».
  • Находим путь к файлу C:\Windows\System32\Drivers\etc\hosts и нажимаем ОК.
  • Теперь, чтобы внести этот файл в исключения защиты, нужно нажать кнопку «Добавить» и «Сохранить изменения».
Теперь можно приступать к редактированию самого файла. Однако, имейте в виду, что изменить файл можно только от имени администратора. Для этого включаем поиск приложений — Win+C -> Иконка Поиска -> вводим запрос «Блокнот«.
Запускаем Блокнот и в появившемся снизу меню выбираем иконку с заголовком «Запуск от имени Администратора».
Откроется привычный блокнот и можно изменять файл hosts как обычно.
[h=3]В заключение.[/h]После того, как вы удачно исправили свой hosts, обязательно проверьте компьютер на наличие вирусов и измените пароли от почтового ящика.
 
Сверху