Модифицирован файл Hosts

Printable View

14.03.2013, 10:47
Oxidizer3

Вложений: 2

Модифицирован файл Hosts

Добрый день, товарищи-вирусологи.
Проблема заключается в том, что внезапно был изменен файл hosts (дописаны строчки в самый низ файла, где их бегло увидеть нереально), поэтому на всякий случай, я решил сдать анализы в лабораторию.
PS Файл hosts я очистил сам.

Параметры системы:
Microsoft Windows 7 Ultimate
64-разрядная операционная система
Версия 7600 (каюсь, сервис-пак видимо при установке забыл установить, теперь уже поздно)

Емкости с анализами прикреплены во вложениях.
14.03.2013, 10:48
Info_bot

Уважаемый(ая) [B]Oxidizer3[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.03.2013, 14:43
Vvvyg

[QUOTE=Oxidizer3;982110]Добрый день, товарищи-вирусологи.
PS Файл hosts я очистил сам.[/QUOTE]После перезагрузки удалённые строки не восстанавливались?
[QUOTE=Oxidizer3;982110]Версия 7600 (каюсь, сервис-пак видимо при установке забыл установить, теперь уже поздно)[/QUOTE]Это никогда не поздно.
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
14.03.2013, 22:13
Oxidizer3

Нет, строчки не восстанавливались. Там было перенаправление со страниц поисковиков на какой-то сервер m-hosting, откуда он взялся не знаю.
Насчет сервис-пака: а дрова и программы? или все должно работать?
MBAM не скачивается, жму на кнопку - ничего не происходит, ссылку копирую - то же самое
15.03.2013, 00:02
Vvvyg

Попробуйте загрузить MBAM отсюда: [URL="http://yadi.sk/d/wnyvyPdG3IBwT"]http://yadi.sk/d/wnyvyPdG3IBwT[/URL]
Если не получится - скачайте на другом компьютере вместе с оффлайновым обновлением баз: [URL="http://www.malwarebytes.org/mbam/database/mbam-rules.exe"]http://www.malwarebytes.org/mbam/database/mbam-rules.exe[/URL] - запустите сразу после установки, если не получится обновить базы в программе.
15.03.2013, 01:24
regist

[quote="Oxidizer3;982424"]Насчет сервис-пака: а дрова и программы?[/quote]
сервис пак не должен на них никак повлиять.
16.03.2013, 13:46
Oxidizer3

Вложений: 1

Лог MBAM во вложении.
16.03.2013, 14:28
Vvvyg

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM:[/url][CODE]C:\Users\Longcat\Downloads\fraps_3_5_9_build_15586_retail.exe (Adware.Downloader.MR) -> Действие не было предпринято.
E:\$RECYCLE.BIN\S-1-5-21-2054401813-589555652-586055435-1000\$RIX3JFD.exe (PUP.SmsPay.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{44088CCA-2EB0-4E20-8AD3-DF886E0DB2B5}\RP8\A0005732.exe (Trojan.AGent) -> Действие не было предпринято.
E:\Загруженные файлы\Загрузки\driver_install.exe (PUP.BundleInstaller.MB) -> Действие не было предпринято.[/CODE]Остальные кейгены/кряки - на Ваше усмотрение.
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
16.03.2013, 15:55
regist

C:\Program Files (x86)\GM13 - эта программа вам знакома ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\GM13\UNC.exe', 'MBAM: Password.Stealer.H');
QuarantineFile('C:\Program Files (x86)\GM13\data\exit.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Program Files (x86)\GM13\data\killSteam.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Program Files (x86)\GM13\data\launch.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Program Files (x86)\GM13\data\launchmod.exe', 'MBAM: Trojan.Agent');
DeleteFile('E:\$RECYCLE.BIN\S-1-5-21-2054401813-589555652-586055435-1000\$RIX3JFD.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
16.03.2013, 17:16
Oxidizer3

GM13 - пробовал гаррис мод скачать, не задалось, забил. Можно это все сносить к чертям.
Благодарю за рецепт, сеейчас исполню

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Vwyg, я прислушаюсь к совету вашего товарища по поводу удаления и сначала закарантиню файлы, пришлю и тогда будем удалять вредоносов. По поводу уязвимостей ваш скрипт будет исполнен перед скриптом карантина

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Еще executerepair вырублю автозапуски.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Прислал запрошенный карантин.
16.03.2013, 18:01
regist

Если проблем больше нет, то на этом всё :).
16.03.2013, 20:18
Oxidizer3

Благодарю

Я обратился сюда затем, что модификация файла hosts без моего ведома как минимум странная, нашли несколько зловредов все-таки. Антивирусной безопасности я целых 6 месяцев не уделял внимания, видно изначально защитился или не лазил куда не следует.

[HELP]Последний вопрос: AVAST! 7 справится с задачей вылавливания зловредных файлов? Или стоит сменить антивирус?[/HELP]
16.03.2013, 22:26
regist

от всех вирусом не защит ни один антивирус, а выбор лучшего это дело интимное, я не могу вам ничего советовать.
17.03.2013, 11:21
Oxidizer3

Ну спасибо вам тогда, господа врачи :) всего хорошего!
17.03.2013, 11:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]