-
Junior Member
- Вес репутации
- 53
HOSTS файл изменен, а вирусов не находит
Здравствуйте!
Кратко:
Однозначно могу сказать одно, что HOSTS файл что-то меняет, добавляет строки типа:
127.0.0.1 www.avira.com
127.0.0.1 www.eset.com
127.0.0.1 www.kaspersky.com
Свежие AVP TOOL и CureIt ничего не видят, и есть BSOD'ы
(минидампы в наличии)
Подробно:
Soft:
Win XP SP3 + апдейты,
интернет через Wi-Fi к раутеру
Comodo Firewall
Сначала был внезапный BSOD на ровном месте, потом юзер перезагрузился
в Safe Mode. Поиск юзером в Safe Mode'е средствами Windows по маске *.exe
(искал CureIt на диске D привел к следующему BSOD'у (stop 0x0f (0,0,0,0)
UNEXPECTED_KERNEL_MODE_TRAP Divide by Zero Error)).
Потом компьютер перезагрузился в нормальном режиме и работал долго,
произошел следующий BSOD (0xD1 DRIVER_IRQL_NOT_LESS_OR_EQUAL).
После компьютер был выключен. Ждали моего приезда
Полтора часа Memtesta (2 прохода) - ошибок 0.
Тесты HDD c LiveCD - все прекрасно.
В LiveCD был запущен свежий CureIt - ничего не нашел.
Загрузились в винду. Запуск HijackThis, полет нормальный.
Посмотрел в HOSTS - он изменен. Удалил все 127.0.0.1.
Скачал AVZ, обновил его, COMODO выключил. Запуск AVZ привел
к перезагрузке(синего экрана не было, во всех других случаях был)
в System events запись о BSOD'е.
В HOSTS файле снова появились записи (127.0.0.1 ...)
Запускаю AVZ, COMODO при этом включен.
Отчет в файле virusinfo_syscure._with_HOSTS_file_is_changed.zip
Потом был еще один BSOD
Потом по просьбе юзера скачали свежий CureIt.
Просканировали диски из винды - ничего не нашли, кроме HOSTS файла.
Сегодня просканировали из Safe Mode свежим AVP Tool, с настройками
по максимуму для руткитов. Ничего не нашли.
Но после всех танцев сейчас HOSTS файл чистый.
Загрузились в винду сделали все как написано в шапке форума.
Отчеты:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось Dima_Odin; 23.10.2009 в 14:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
все сделал как в процедуре http://virusinfo.info/showthread.php?t=3519
не обратил внимания - COMODO Firewall был включен.
надо ли переделать?
Добавлено через 27 минут
Архив 091022_140340_virusinfo_files_HOME_4ae02dfc9645b.z ip, загружен 22.10.2009 14
21, размер 8444746 байт
Всего файлов: 18 (исполняемых 1
, из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 14
обычный приоритет: 4
вот ответ, что делать дальше?
Последний раз редактировалось Dima_Odin; 22.10.2009 в 14:41.
Причина: Добавлено
-
Выполните в AVZ скрипт ScanWin.txt и приложите сюда файл c:\avz_log.txt.
-
-
-
-
Junior Member
- Вес репутации
- 53
Выполните в AVZ скрипт
ScanWin.txt и приложите сюда файл c:\avz_log.txt.
Скрипт выполнил.
-
Junior Member
- Вес репутации
- 53
Отчет GMER'a
Большущий однако
-
Junior Member
- Вес репутации
- 53
Доброе утро, господа!
Что делать дальше?
Последний раз редактировалось Dima_Odin; 23.10.2009 в 11:18.
-
Сообщение от
Dima_Odin
Что делать дальше?
Хмм, в общем-то - что хотите: в логах ничего подозрительного .
-
-
-
-
Junior Member
- Вес репутации
- 53
Hosts файл чист, но когда запустил RkU LE 3.8.380.580 SR1
Выдало сообщение
Rootkit Unhooker has detected parasite inside itself!
It is recommended to remove parasite, okay?
Parasite type: Unknown remote thread
Thread ID: 2160
Priority: 8
Thread start address 0x00000000
После нажатия OK
Error removing parasite, program integrity damaged
Нажал на выход.
После этого запустил установленный на компе RkU 3.8.341.552
Он ни на что не ругался. Быстро сделал скан.
Потом я запустил снова RkU LE 3.8.380.580 SR1. На этот раз он не ругался, запустился и сделал скан.
Как минимум это странно.
Во вторых в логе GMER'a
строки
ntoskrnl.exe!_abnormal_termination + E0 804E273C 4 Bytes JMP 87F5CDF8
ntoskrnl.exe!_abnormal_termination + 15C 804E27B8 4 Bytes JMP E40AF5CD
ntoskrnl.exe!_abnormal_termination + 24C 804E28A8 4 Bytes JMP 82211E7A
на чистом компе таких строк нету (или это от COMODO Firewall?)
Логи RkU прилагаю.
-
ИМХО от Комода. Можете для чистоты его снести и попробовать сделать логи без него.
-
-
Junior Member
- Вес репутации
- 53
Снес COMODO Firewall.
GMER ничего не нашел. Пустой report.
RkU что-то видит.
-
Gmer не может быть пустым, если все сделано по правилам. Т.е. все нужные галочки поставлены, нажата кнопка скан и т.д.
В логе RKu ничего подозрительного.
-
-
Junior Member
- Вес репутации
- 53
Gmer не может быть пустым, если все сделано по правилам. Т.е. все нужные галочки поставлены, нажата кнопка скан и т.д.
Вот пожалуйста. Пусто
Последний раз редактировалось Dima_Odin; 23.10.2009 в 14:13.
-
Junior Member
- Вес репутации
- 53
Пока все чисто и спокойно.
Спасибо за помощь.
Тему можно закрывать.