Поправить текстовым редактором этот файл было невозможно, система сообщала:
Пожалуйста, проверьте открыт ли этот файл в другом приложении
В системе установлен KIS. Я произвел проверку при помощи Dr.Web CureIt!, он нашел вирус и исправил файл hosts (но вручную я до сих пор не могу его править, система вновь просит проверить, не открыт ли он в другой программе). Полную проверку при помощи KIS я тоже сделал (в настройках повысив уровень безопасности до "высокий") но она выполнялась уже после Dr.Web CureIt и никаких проблем не обнаружила.
Плюс, некоторое время назад я заметил, что ноутбук чрезвычайно сильно нагревается. Менеджер задач не показывал аномально высокой активности ядер процессора. Но в ноутбуке установлена дискретная видеокарта, я решил, что она и виновата в разогреве. Соответственно, подумал, что один из майнеров добрался-таки до моей машины. После переключения с дискретной видеокарты на виртуальную, сумасшедший нагрев прекратился (правда, по времени это совпало с проверкой при помощиDr.Web CureIt, так что, может, это он вылечил).
На машине установлена 64-разрядная система. В соответствии с инструкциями, virusinfo_syscure.zip не создавал.
Буду благодарен за помощь в разрешении ситуации.
С Уважением, Алексей.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Кот Бегемот, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запись от программы Handy Backup нет в ней ничего страшного. Возможно таким образом блокируется обращение к сайтам Handy Backup делается это обычно для того когда установлена ломанная версия программы.
Возможно таким образом блокируется обращение к сайтам Handy Backup делается это обычно для того когда установлена ломанная версия программы.
Это IP серверов программы, так что к взлому никакого отношение не имеет
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Запись от программы Handy Backup
...
когда установлена ломанная версия программы.
У меня очень давно куплена лицензия на Handy Backup. Никаких ломаных версий, соответственно, не установлено. Но эта запись в hosts появилась совсем недавно - я с пару месяцев назад заглядывал в него, не было там такого.
Сообщение от mike 1
нет в ней ничего страшного
Можно и так сказать про этот милый фишинг. Но сам факт того, что зловред завелся на машине не может не растраивать.
mike 1, а в файлах-отчетах AVZ и HiJackThis есть что-то подозрительное?
Это IP серверов программы, так что к взлому никакого отношение не имеет
Елки-палки! Сейчас глянул - действительно, судя по всему, это новософтовский сайт. Я его изначально за фишинговый принял. Но странно, зачем Новософту лезть мне в хостс и править его. Плюс, Dr.Web CureIt! когда отработал, сообщил об обнаружении вируса в названии которого была подстрока "hosts". В самом файле hosts Dr.Web CureIt! удалил строку про Handy Backup, а на ее место записал "# This HOSTS file cured by Dr.Web Anti-rootkit API".
Сообщение от regist
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Ок, так и сделаю, спасибо.
Сообщение от regist
кроме этого какие-то ещё проблемы есть?
Только невозможность править файл hosts и разогрев ноутбука. Вроде, больше ничего.
Плюс, Dr.Web CureIt! когда отработал, сообщил об обнаружении вируса в названии которого была подстрока "hosts". В самом файле hosts Dr.Web CureIt! удалил строку про Handy Backup, а на ее место записал "# This HOSTS file cured by Dr.Web Anti-rootkit API".
Доктор так реагирует на любое изменение hosts файла без разницы насколько эти изменения вредоносны.
Сообщение от Кот Бегемот
Сейчас глянул - действительно, судя по всему, это новософтовский сайт.
можете в этом не сомневаться.
Сообщение от Кот Бегемот
Сейчас глянул - действительно, судя по всему, это новософтовский сайт. Я его изначально за фишинговый принял.
может они как раз так от фишинга защищаются?
Сообщение от Кот Бегемот
Только невозможность править файл hosts
на win 7 для этого блокнот надо запускать от имени админа.
Сообщение от Кот Бегемот
и разогрев ноутбука.
по этим логам вирусов не видно, а причин для почему греется может быть много, в том числе и банальная пыль.
на win 7 для этого блокнот надо запускать от имени админа.
Спасибо. Я его правлю не так часто и в перерывах успеваю забыть, про этот нюанс. Вчера все пытался сам hosts открыть от имени администратора. Надо где-то записать, про такое открытие именно блокнота)
Сообщение от regist
по этим логам вирусов не видно, а причин для почему греется может быть много, в том числе и банальная пыль.
Спасибо за анализ логов.
Пыль я чищу периодически, ноут чистый внутри. Но грелся он очень сильно, такого раньше не было абсолютно точно (ему уже года четыре от роду). С виртуальной/интегрированной видеокартой разогрева нет. Сейчас попробовал переключиться обратно на дискретную - ноут начал опять сильно греться. Если дело не в зловреде, то, возможно, какая-то проблема с драйвером или другим каким ПО, буду наблюдать.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
regist, ваши инструкции выполнил. В результате получил лог-файл следующего содержания:
Код:
Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04
Запускайте обновление от имени Администратора
Обнаружено уязвимостей: 1
Уязвимость устранил установкой указанного обновления. Вторичный прогон вашего скрипта привел к сообщению "частоиспользуемые уязвимости на обнаружены".
Я правильно понимаю, что никаких зловредов у меня не было обнаружено?
Спасибо.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Модифицирован файл hosts и, возможно, машина используется под майнинг
Сообщение от mike 1
