Вирус изменяет hosts

Printable View

13.01.2013, 21:01
ArtemP

Вложений: 3

Вирус изменяет hosts

Доброго времени суток.
Ситуация такая: вирус блокирует доступ к сайтам ВК, Одноклассники, а так же на некоторых сайтах появляется баннер о том, что сайт заблокирован и нужно вписать свой номер телефона. Проверял DrWeb CureIt'ом, находит: объект "hosts", угроза "возможно DFH.HOSTS.corrupted". Лечу, доступ к ВК появляется, но через какое-то время все повторяется заново, несколько раз проверял-лечил. как-то еще проверил после CureIt'а авастом, он нашел еще .dll файл какой-то, удалил, но опять же все снова повторилось через скорое время. Сейчас выкладываю логи после того, как вылечил CureIt'ом. Спасибо за помощь.

UPDATE:
Забыл добавить, уже около месяца у меня при каждом выключении компьютера идет установка обновлений (2 обновления всегда устанавливаются). Может быть это как-то связано или хотябы просто подскажите, как исправить. Сам вирус был замечен около недели назад.
13.01.2013, 21:03
Info_bot

Уважаемый(ая) [B]ArtemP[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.01.2013, 00:14
thyrex

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
14.01.2013, 02:53
ArtemP

Вложений: 2

Пожалуйста.
P.S. Забыл добавить, уже около месяца у меня при каждом выключении компьютера идет установка обновлений (2 обновления всегда устанавливаются). Может быть это как-то связано или хотябы просто подскажите, как исправить. Сам вирус был замечен около недели назад.
14.01.2013, 19:49
Techno

C:\WINDOWS\tasks\At1.job -Удалите.
15.01.2013, 14:52
ArtemP

[QUOTE=Techno;959915]C:\WINDOWS\tasks\At1.job -Удалите.[/QUOTE] Удалил. Теперь криво отображаются некоторые сайты в файрфоксе (в хроме и опере вроде бы нормально). Файрфоксом всегда пользуюсь, как основным. Еще заметил сейчас, что реклама гта 5 появилась в виде открывшегося окня с сайтом, адрес не смотрел. Окно появилось, когда перешел на сайт ВК из яндекса.
15.01.2013, 16:07
Techno

РСИТ и АВЗ повторите.
15.01.2013, 17:21
ArtemP

Вложений: 3

Готово.
15.01.2013, 19:48
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
15.01.2013, 20:36
ArtemP

Вложений: 1

Готово.
15.01.2013, 20:45
Techno

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.
[code]
KillAll::

File::

Driver::

NetSvc::
aicknh
rvxhtdkm
fhgrfl
zfzzrwljs
vxssw
kedzqxcp
ehlqini
wnlrmsx
dhgumuvs
qlbwjvz
jxgfckvyu
jyaxa
nwwatquiv
cgksot
rscdmbvbe

Folder::

Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Что с проблемой?
15.01.2013, 21:27
ArtemP

Вложений: 1

Блокировки сайтов не замечаю, в браузере страницы отображаются нормально, так что похоже, все нормально.
15.01.2013, 21:51
Techno

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL]