Показано с 1 по 16 из 16.

HOSTS файл изменен, а вирусов не находит (заявка № 57933)

  1. #1
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53

    Thumbs up HOSTS файл изменен, а вирусов не находит

    Здравствуйте!

    Кратко:
    Однозначно могу сказать одно, что HOSTS файл что-то меняет, добавляет строки типа:
    127.0.0.1 www.avira.com
    127.0.0.1 www.eset.com
    127.0.0.1 www.kaspersky.com

    Свежие AVP TOOL и CureIt ничего не видят, и есть BSOD'ы
    (минидампы в наличии)

    Подробно:
    Soft:
    Win XP SP3 + апдейты,
    интернет через Wi-Fi к раутеру
    Comodo Firewall

    Сначала был внезапный BSOD на ровном месте, потом юзер перезагрузился
    в Safe Mode. Поиск юзером в Safe Mode'е средствами Windows по маске *.exe
    (искал CureIt на диске D привел к следующему BSOD'у (stop 0x0f (0,0,0,0)
    UNEXPECTED_KERNEL_MODE_TRAP Divide by Zero Error)).
    Потом компьютер перезагрузился в нормальном режиме и работал долго,
    произошел следующий BSOD (0xD1 DRIVER_IRQL_NOT_LESS_OR_EQUAL).
    После компьютер был выключен. Ждали моего приезда

    Полтора часа Memtesta (2 прохода) - ошибок 0.
    Тесты HDD c LiveCD - все прекрасно.
    В LiveCD был запущен свежий CureIt - ничего не нашел.

    Загрузились в винду. Запуск HijackThis, полет нормальный.
    Посмотрел в HOSTS - он изменен. Удалил все 127.0.0.1.
    Скачал AVZ, обновил его, COMODO выключил. Запуск AVZ привел
    к перезагрузке(синего экрана не было, во всех других случаях был)
    в System events запись о BSOD'е.

    В HOSTS файле снова появились записи (127.0.0.1 ...)
    Запускаю AVZ, COMODO при этом включен.
    Отчет в файле virusinfo_syscure._with_HOSTS_file_is_changed.zip

    Потом был еще один BSOD
    Потом по просьбе юзера скачали свежий CureIt.
    Просканировали диски из винды - ничего не нашли, кроме HOSTS файла.

    Сегодня просканировали из Safe Mode свежим AVP Tool, с настройками
    по максимуму для руткитов. Ничего не нашли.
    Но после всех танцев сейчас HOSTS файл чистый.

    Загрузились в винду сделали все как написано в шапке форума.
    Отчеты:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    Последний раз редактировалось Dima_Odin; 23.10.2009 в 14:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    все сделал как в процедуре http://virusinfo.info/showthread.php?t=3519
    не обратил внимания - COMODO Firewall был включен.
    надо ли переделать?

    Добавлено через 27 минут

    Архив 091022_140340_virusinfo_files_HOME_4ae02dfc9645b.z ip, загружен 22.10.2009 1421, размер 8444746 байт
    Всего файлов: 18 (исполняемых 1, из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    занесены в базу безопасных AVZ: 0
    В очереди на добавление в базу безопасных:
    высокий приоритет: 14
    обычный приоритет: 4
    вот ответ, что делать дальше?
    Последний раз редактировалось Dima_Odin; 22.10.2009 в 14:41. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполните в AVZ скрипт ScanWin.txt и приложите сюда файл c:\avz_log.txt.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    После этого сделайте лог http://virusinfo.info/showthread.php?t=40118

  7. #6
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Выполните в AVZ скрипт ScanWin.txt и приложите сюда файл c:\avz_log.txt.
    Скрипт выполнил.

  8. #7
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Отчет GMER'a
    Большущий однако

  9. #8
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Доброе утро, господа!
    Что делать дальше?
    Последний раз редактировалось Dima_Odin; 23.10.2009 в 11:18.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Dima_Odin Посмотреть сообщение
    Что делать дальше?
    Хмм, в общем-то - что хотите: в логах ничего подозрительного .

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Проблема осталась?

  12. #11
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Проблема осталась?
    Hosts файл чист, но когда запустил RkU LE 3.8.380.580 SR1
    Выдало сообщение
    Rootkit Unhooker has detected parasite inside itself!
    It is recommended to remove parasite, okay?
    Parasite type: Unknown remote thread
    Thread ID: 2160
    Priority: 8
    Thread start address 0x00000000
    После нажатия OK
    Error removing parasite, program integrity damaged
    Нажал на выход.
    После этого запустил установленный на компе RkU 3.8.341.552
    Он ни на что не ругался. Быстро сделал скан.
    Потом я запустил снова RkU LE 3.8.380.580 SR1. На этот раз он не ругался, запустился и сделал скан.

    Как минимум это странно.

    Во вторых в логе GMER'a
    строки
    ntoskrnl.exe!_abnormal_termination + E0 804E273C 4 Bytes JMP 87F5CDF8
    ntoskrnl.exe!_abnormal_termination + 15C 804E27B8 4 Bytes JMP E40AF5CD
    ntoskrnl.exe!_abnormal_termination + 24C 804E28A8 4 Bytes JMP 82211E7A
    на чистом компе таких строк нету (или это от COMODO Firewall?)

    Логи RkU прилагаю.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    ИМХО от Комода. Можете для чистоты его снести и попробовать сделать логи без него.

  14. #13
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Снес COMODO Firewall.

    GMER ничего не нашел. Пустой report.
    RkU что-то видит.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Gmer не может быть пустым, если все сделано по правилам. Т.е. все нужные галочки поставлены, нажата кнопка скан и т.д.
    В логе RKu ничего подозрительного.

  16. #15
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Gmer не может быть пустым, если все сделано по правилам. Т.е. все нужные галочки поставлены, нажата кнопка скан и т.д.
    Вот пожалуйста. Пусто
    Последний раз редактировалось Dima_Odin; 23.10.2009 в 14:13.

  17. #16
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    11
    Вес репутации
    53
    Пока все чисто и спокойно.
    Спасибо за помощь.

    Тему можно закрывать.

  • Уважаемый(ая) Dima_Odin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 05.03.2012, 18:08
    2. изменен файл хост
      От Andy_Hunter в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.12.2010, 15:24
    3. был изменен файл hosts
      От TU-134 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.10.2010, 11:39
    4. изменен файл driver/etc/hosts (заявка №7864)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 24.02.2010, 21:00
    5. Ответов: 2
      Последнее сообщение: 13.02.2010, 19:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00754 seconds with 19 queries