Касперский обнаружил на проблемной машине 7 вирусов. Файл hosts чистый, однако периодически выскакивает окно с ошибкой приложения fixhosts.exe. Прикладываю логи.

rzdpasha, смотрю ваши логи

суть заражения ясна. сетевой червь, а потому в обязательном порядке скачайте и установите критические обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)
особенное внимание обратите на эти заплатки
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ExecuteRepair(8);
ExecuteRepair(13);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

O1 - Hosts: 193.218.156.153 www.vkontakte.ru
O1 - Hosts: 193.218.156.153 www.vk.com
O1 - Hosts: 193.218.156.153 vkontakte.ru
O1 - Hosts: 193.218.156.153 vk.com
O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.153 odnoklassniki.ru
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

если GMER не работает не запустится

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского (http://forum.oszone.net/thread-164133.html). Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Сделайте повторные логи AVZ + выполните лог RSIT

SolarSpark, благодарю за проделанную работу. Применить все рекомендации на машине смогу через несколько часов, тогда и сообщу о результатах.
P.S. Надо бы тоже освоить вкуривание логов. :)

P.S. Надо бы тоже освоить вкуривание логов. »
Можете научиться - http://forum.oszone.net/announcement.php?a=182

Указанные ниже строки в HijackThis отсутствовали:O1 - Hosts: 193.218.156.153 www.vkontakte.ru
O1 - Hosts: 193.218.156.153 www.vk.com
O1 - Hosts: 193.218.156.153 vkontakte.ru
O1 - Hosts: 193.218.156.153 vk.com
O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.153 odnoklassniki.ru
Поскольку GMER запустился, то эти пункты пропустил: Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe
1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить
Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.
Новые логи:

rzdpasha, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service igkgu
gmer.exe -del service itqejw
gmer.exe -del file "C:\WINDOWS\system32\qglvxxdz.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\itqejw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\igkgu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\itqejw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\igkgu"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

и я запрашивала лог RSIT

Скачайте RSIT (http://www.safezone.cc/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

а лог HijackThis вообще старый прикрепили, повторите сканирование и прикрепите свежий
заплатки поставили? без них лечение бессмысленно

Виноват. Действительно, лог RSIT забыл. Бегаю тут между компами с флэшкой. Заплатки поставил. Я на этой машине сразу после лечения Касперским установил Critical и Secure PreSP4-пакеты, видимо тех, что вы указали в них не было, хотя не вглядывался. В любом случае автоматическое обновление в момент заражения было напрочь отключено, ESET, видимо, тоже не обновлялся.

rzdpasha, с флешками осторожнее, Conficker/Kido весьма опасный и вирулентный червячок..
Отключите автозапуск на пк со всех носителей кроме CDROM, повторюсь еще раз, хотя уже давала эту рекомендацию
Но в нашем случае-повторение только во благо.
В окно командной строки скопируйте и вставьте команду:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
Нажмите enter. Для подтверждения перезаписи нажмите Y.

Лог GMER чист-лечение успешно.
Деинсталлируем утиль. Для этого скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

ESET, видимо, тоже не обновлялся. »

но я вижу у вас еще и Kaspersky Anti-Virus 2011
определитесь с антивирусом-второй деинсталлируйте!

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\FONTS\E23D411.com','');
DeleteFile('C:\WINDOWS\FONTS\E23D411.com');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\TempCom')
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Отключите автозапуск на пк со всех носителей кроме CDROM, повторюсь еще раз, хотя уже давала эту рекомендацию
Но в нашем случае-повторение только во благо. »Действительно пришлось повторить и перезаписи не было.
но я вижу у вас еще и Kaspersky Anti-Virus 2011
определитесь с антивирусом-второй деинсталлируйте! »Нет-нет. ESET всё равно был пробный и срок его заканчивался. Был удалён и система подчищена от остатков при помощи спец. утилиты от производителя (у них ещё и AVG в своё время был установлен). Пусть пока довольствуются Касперским, может лицензию прикупят (если припугнуть хорошенько).Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\FONTS\E23D411.com','');
DeleteFile('C:\WINDOWS\FONTS\E23D411.com');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\TempCom')
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. »Ошибка в 91-ой позиции - отсутствует ";" :)
Логи MBAM и RSIT прикреплю немного позднее.

rzdpasha, прошу прощения, этот скрипт примените-исправлен

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\FONTS\E23D411.com','');
DeleteFile('C:\WINDOWS\FONTS\E23D411.com');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\TempCom');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Ну вы уж совсем меня того. Что же я, не догадался бы точку с запятой вставить? :)

Логи:

проблема решена?

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Проблема решена. Выскакивающее окно перестало досаждать уже после первого скрипта AVZ. Все последующие действия, как понимаю, производились для контрольной зачистки и залатывания дыр. Вам, SolarSpark, плюсик в благодарность.

ну и славно, не болейте больше :)