Модифицирован файл hosts и, возможно, машина используется под майнинг

Printable View

07.08.2014, 16:54
Кот Бегемот

Вложений: 2

Модифицирован файл hosts и, возможно, машина используется под майнинг

Здравствуйте.

Вчера обнаружил левую запись в файле hosts:
[CODE]69.64.71.218 handybackup.com www.handybackup.com www.softlogica.com softlogica.com[/CODE]
Поправить текстовым редактором этот файл было невозможно, система сообщала:
[QUOTE]Пожалуйста, проверьте открыт ли этот файл в другом приложении[/QUOTE]
В системе установлен KIS. Я произвел проверку при помощи Dr.Web CureIt!, он нашел вирус и исправил файл hosts (но вручную я до сих пор не могу его править, система вновь просит проверить, не открыт ли он в другой программе). Полную проверку при помощи KIS я тоже сделал (в настройках повысив уровень безопасности до "высокий") но она выполнялась уже после Dr.Web CureIt и никаких проблем не обнаружила.

Плюс, некоторое время назад я заметил, что ноутбук чрезвычайно сильно нагревается. Менеджер задач не показывал аномально высокой активности ядер процессора. Но в ноутбуке установлена дискретная видеокарта, я решил, что она и виновата в разогреве. Соответственно, подумал, что один из майнеров добрался-таки до моей машины. После переключения с дискретной видеокарты на виртуальную, сумасшедший нагрев прекратился (правда, по времени это совпало с проверкой при помощиDr.Web CureIt, так что, может, это он вылечил).

На машине установлена 64-разрядная система. В соответствии с [URL="http://virusinfo.info/content.php?r=136-pravila"]инструкциями[/URL], virusinfo_syscure.zip не создавал.

Буду благодарен за помощь в разрешении ситуации.
С Уважением, Алексей.
07.08.2014, 16:55
Info_bot

Уважаемый(ая) [B]Кот Бегемот[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.08.2014, 19:00
mike 1

[QUOTE]O4 - HKCU\..\Run: [Handy Backup] C:\Program Files (x86)\Novosoft\Handy Backup\hbagent.exe -logon
[/QUOTE]
Запись от программы Handy Backup нет в ней ничего страшного. Возможно таким образом блокируется обращение к сайтам Handy Backup делается это обычно для того когда установлена ломанная версия программы.
07.08.2014, 19:56
regist

[quote="mike 1;1145747"]Возможно таким образом блокируется обращение к сайтам Handy Backup делается это обычно для того когда установлена ломанная версия программы.[/quote]
Это IP серверов программы, так что к взлому никакого отношение не имеет :)

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

кроме этого какие-то ещё проблемы есть?
07.08.2014, 20:08
Кот Бегемот

[QUOTE=mike 1;1145747]Запись от программы Handy Backup
...
когда установлена ломанная версия программы.[/QUOTE]
У меня очень давно куплена лицензия на Handy Backup. Никаких ломаных версий, соответственно, не установлено. Но эта запись в hosts появилась совсем недавно - я с пару месяцев назад заглядывал в него, не было там такого.

[QUOTE=mike 1;1145747]нет в ней ничего страшного[/QUOTE]
Можно и так сказать про этот милый фишинг. Но сам факт того, что зловред завелся на машине не может не растраивать.

[b]mike 1[/b], а в файлах-отчетах AVZ и HiJackThis есть что-то подозрительное?

Спасибо.
07.08.2014, 20:20
regist

[b]Кот Бегемот[/b], пост №4 прочтите.
07.08.2014, 20:27
Кот Бегемот

[QUOTE=regist;1145766]Это IP серверов программы, так что к взлому никакого отношение не имеет :)[/QUOTE]
Елки-палки! Сейчас глянул - действительно, судя по всему, это новософтовский сайт. Я его изначально за фишинговый принял. Но странно, зачем Новософту лезть мне в хостс и править его. Плюс, Dr.Web CureIt! когда отработал, сообщил об обнаружении вируса в названии которого была подстрока "hosts". В самом файле hosts Dr.Web CureIt! удалил строку про Handy Backup, а на ее место записал "# This HOSTS file cured by Dr.Web Anti-rootkit API".

[QUOTE=regist;1145766]Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.[/QUOTE]
Ок, так и сделаю, спасибо.

[QUOTE=regist;1145766]кроме этого какие-то ещё проблемы есть?[/QUOTE]
Только невозможность править файл hosts и разогрев ноутбука. Вроде, больше ничего.
07.08.2014, 20:52
regist

[quote="Кот Бегемот;1145792"]Плюс, Dr.Web CureIt! когда отработал, сообщил об обнаружении вируса в названии которого была подстрока "hosts". В самом файле hosts Dr.Web CureIt! удалил строку про Handy Backup, а на ее место записал "# This HOSTS file cured by Dr.Web Anti-rootkit API".[/quote]
Доктор так реагирует на любое изменение hosts файла без разницы насколько эти изменения вредоносны.
[quote="Кот Бегемот;1145792"]Сейчас глянул - действительно, судя по всему, это новософтовский сайт.[/quote]
можете в этом не сомневаться.
[quote="Кот Бегемот;1145792"]Сейчас глянул - действительно, судя по всему, это новософтовский сайт. Я его изначально за фишинговый принял.[/quote]
может они как раз так от фишинга защищаются?
[quote="Кот Бегемот;1145792"]Только невозможность править файл hosts[/quote]
на win 7 для этого блокнот надо запускать от имени админа.
[quote="Кот Бегемот;1145792"]и разогрев ноутбука.[/quote]
по этим логам вирусов не видно, а причин для почему греется может быть много, в том числе и банальная пыль.
[quote="Кот Бегемот;1145792"]Ок, так и сделаю, спасибо.[/quote]
ок, ждём ссылку.
08.08.2014, 11:25
Кот Бегемот

[QUOTE=regist;1145804]на win 7 для этого блокнот надо запускать от имени админа.[/QUOTE]
Спасибо. Я его правлю не так часто и в перерывах успеваю забыть, про этот нюанс. Вчера все пытался сам hosts открыть от имени администратора. Надо где-то записать, про такое открытие именно блокнота)

[QUOTE=regist;1145804]по этим логам вирусов не видно, а причин для почему греется может быть много, в том числе и банальная пыль.[/QUOTE]
Спасибо за анализ логов.
Пыль я чищу периодически, ноут чистый внутри. Но грелся он очень сильно, такого раньше не было абсолютно точно (ему уже года четыре от роду). С виртуальной/интегрированной видеокартой разогрева нет. Сейчас попробовал переключиться обратно на дискретную - ноут начал опять сильно греться. Если дело не в зловреде, то, возможно, какая-то проблема с драйвером или другим каким ПО, буду наблюдать.

[QUOTE=regist;1145804]ок, ждём ссылку.[/QUOTE]
[url]http://virusinfo.info/virusdetector/report.php?md5=A871418BE96E3352753FCDAA896A2638[/url]
08.08.2014, 12:59
regist

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
09.08.2014, 13:21
Кот Бегемот

[b]regist[/b], ваши инструкции выполнил. В результате получил лог-файл следующего содержания:
[CODE]Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04
Запускайте обновление от имени Администратора

Обнаружено уязвимостей: 1[/CODE]
Уязвимость устранил установкой указанного обновления. Вторичный прогон вашего скрипта привел к сообщению "частоиспользуемые уязвимости на обнаружены".

Я правильно понимаю, что никаких зловредов у меня не было обнаружено?
Спасибо.
09.08.2014, 13:24
regist

[quote="Кот Бегемот;1146263"]Я правильно понимаю, что никаких зловредов у меня не было обнаружено?[/quote]
Да. На этом всё.
Чистого интернета :).
09.08.2014, 14:26
Кот Бегемот

[b]regist[/b], спасибо за помощь и пожелания. Удачи в делах.

P.S. Проект поддержал через PayPall (6M038996DH459872D). Желаю успехов в его дальнейшем развитии.