Показано с 1 по 13 из 13.

Модифицирован файл hosts и, возможно, машина используется под майнинг (заявка № 164467)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    13

    Thumbs up Модифицирован файл hosts и, возможно, машина используется под майнинг

    Здравствуйте.

    Вчера обнаружил левую запись в файле hosts:
    Код:
    69.64.71.218 handybackup.com www.handybackup.com www.softlogica.com softlogica.com
    Поправить текстовым редактором этот файл было невозможно, система сообщала:
    Пожалуйста, проверьте открыт ли этот файл в другом приложении
    В системе установлен KIS. Я произвел проверку при помощи Dr.Web CureIt!, он нашел вирус и исправил файл hosts (но вручную я до сих пор не могу его править, система вновь просит проверить, не открыт ли он в другой программе). Полную проверку при помощи KIS я тоже сделал (в настройках повысив уровень безопасности до "высокий") но она выполнялась уже после Dr.Web CureIt и никаких проблем не обнаружила.

    Плюс, некоторое время назад я заметил, что ноутбук чрезвычайно сильно нагревается. Менеджер задач не показывал аномально высокой активности ядер процессора. Но в ноутбуке установлена дискретная видеокарта, я решил, что она и виновата в разогреве. Соответственно, подумал, что один из майнеров добрался-таки до моей машины. После переключения с дискретной видеокарты на виртуальную, сумасшедший нагрев прекратился (правда, по времени это совпало с проверкой при помощиDr.Web CureIt, так что, может, это он вылечил).

    На машине установлена 64-разрядная система. В соответствии с инструкциями, virusinfo_syscure.zip не создавал.

    Буду благодарен за помощь в разрешении ситуации.
    С Уважением, Алексей.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) Кот Бегемот, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    O4 - HKCU\..\Run: [Handy Backup] C:\Program Files (x86)\Novosoft\Handy Backup\hbagent.exe -logon
    Запись от программы Handy Backup нет в ней ничего страшного. Возможно таким образом блокируется обращение к сайтам Handy Backup делается это обычно для того когда установлена ломанная версия программы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Возможно таким образом блокируется обращение к сайтам Handy Backup делается это обычно для того когда установлена ломанная версия программы.
    Это IP серверов программы, так что к взлому никакого отношение не имеет


    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    кроме этого какие-то ещё проблемы есть?

  6. #5
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    13
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Запись от программы Handy Backup
    ...
    когда установлена ломанная версия программы.
    У меня очень давно куплена лицензия на Handy Backup. Никаких ломаных версий, соответственно, не установлено. Но эта запись в hosts появилась совсем недавно - я с пару месяцев назад заглядывал в него, не было там такого.

    Цитата Сообщение от mike 1 Посмотреть сообщение
    нет в ней ничего страшного
    Можно и так сказать про этот милый фишинг. Но сам факт того, что зловред завелся на машине не может не растраивать.

    mike 1, а в файлах-отчетах AVZ и HiJackThis есть что-то подозрительное?

    Спасибо.

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    13
    Цитата Сообщение от regist Посмотреть сообщение
    Это IP серверов программы, так что к взлому никакого отношение не имеет
    Елки-палки! Сейчас глянул - действительно, судя по всему, это новософтовский сайт. Я его изначально за фишинговый принял. Но странно, зачем Новософту лезть мне в хостс и править его. Плюс, Dr.Web CureIt! когда отработал, сообщил об обнаружении вируса в названии которого была подстрока "hosts". В самом файле hosts Dr.Web CureIt! удалил строку про Handy Backup, а на ее место записал "# This HOSTS file cured by Dr.Web Anti-rootkit API".


    Цитата Сообщение от regist Посмотреть сообщение
    Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
    Ок, так и сделаю, спасибо.


    Цитата Сообщение от regist Посмотреть сообщение
    кроме этого какие-то ещё проблемы есть?
    Только невозможность править файл hosts и разогрев ноутбука. Вроде, больше ничего.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    Плюс, Dr.Web CureIt! когда отработал, сообщил об обнаружении вируса в названии которого была подстрока "hosts". В самом файле hosts Dr.Web CureIt! удалил строку про Handy Backup, а на ее место записал "# This HOSTS file cured by Dr.Web Anti-rootkit API".
    Доктор так реагирует на любое изменение hosts файла без разницы насколько эти изменения вредоносны.
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    Сейчас глянул - действительно, судя по всему, это новософтовский сайт.
    можете в этом не сомневаться.
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    Сейчас глянул - действительно, судя по всему, это новософтовский сайт. Я его изначально за фишинговый принял.
    может они как раз так от фишинга защищаются?
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    Только невозможность править файл hosts
    на win 7 для этого блокнот надо запускать от имени админа.
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    и разогрев ноутбука.
    по этим логам вирусов не видно, а причин для почему греется может быть много, в том числе и банальная пыль.
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    Ок, так и сделаю, спасибо.
    ок, ждём ссылку.

  10. #9
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    13
    Цитата Сообщение от regist Посмотреть сообщение
    на win 7 для этого блокнот надо запускать от имени админа.
    Спасибо. Я его правлю не так часто и в перерывах успеваю забыть, про этот нюанс. Вчера все пытался сам hosts открыть от имени администратора. Надо где-то записать, про такое открытие именно блокнота)

    Цитата Сообщение от regist Посмотреть сообщение
    по этим логам вирусов не видно, а причин для почему греется может быть много, в том числе и банальная пыль.
    Спасибо за анализ логов.
    Пыль я чищу периодически, ноут чистый внутри. Но грелся он очень сильно, такого раньше не было абсолютно точно (ему уже года четыре от роду). С виртуальной/интегрированной видеокартой разогрева нет. Сейчас попробовал переключиться обратно на дискретную - ноут начал опять сильно греться. Если дело не в зловреде, то, возможно, какая-то проблема с драйвером или другим каким ПО, буду наблюдать.

    Цитата Сообщение от regist Посмотреть сообщение
    ок, ждём ссылку.
    http://virusinfo.info/virusdetector/...3FCDAA896A2638

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  12. #11
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    13
    regist, ваши инструкции выполнил. В результате получил лог-файл следующего содержания:
    Код:
    Поиск критических уязвимостей
    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04
    Запускайте обновление от имени Администратора
    
    Обнаружено уязвимостей: 1
    Уязвимость устранил установкой указанного обновления. Вторичный прогон вашего скрипта привел к сообщению "частоиспользуемые уязвимости на обнаружены".

    Я правильно понимаю, что никаких зловредов у меня не было обнаружено?
    Спасибо.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Кот Бегемот Посмотреть сообщение
    Я правильно понимаю, что никаких зловредов у меня не было обнаружено?
    Да. На этом всё.
    Чистого интернета .

  14. #13
    Junior Member Репутация
    Регистрация
    07.08.2014
    Сообщений
    6
    Вес репутации
    13
    regist, спасибо за помощь и пожелания. Удачи в делах.

    P.S. Проект поддержал через PayPall (6M038996DH459872D). Желаю успехов в его дальнейшем развитии.

  • Уважаемый(ая) Кот Бегемот, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 18.02.2014, 02:34
    2. Модифицирован файл Hosts
      От Oxidizer3 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 17.03.2013, 10:31
    3. Модифицирован файл Hosts
      От Oxidizer3 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.03.2013, 20:19
    4. Модифицирован файл hosts
      От atv2010 в разделе Помогите!
      Ответов: 37
      Последнее сообщение: 22.12.2009, 09:18
    5. Модифицирован файл HOSTS
      От Ollegg в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.09.2009, 10:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01425 seconds with 17 queries