-
Junior Member
- Вес репутации
- 50
Подмена hosts и Internet Security
Началось все с Вконтакте. Появилось сообщение пресловутой службы Internet Security о запрете на вход с требованием отправить SMS для разблокирования аккаунта. Дальше - больше: стали блокироваться и другие сайты, вплоть до Яндекс и Майл.ру. Но работали региональные. Проверился Hijackthis-ом без лога, обнаружил более сотни строк типа "O1 - Hosts: 77.78.240.31 mail.ru", пофиксил, перезагрузился, все записи в hosts вернулись. Попробовал редактировать hosts вручную, файл "использовался" и не открылся для редактирования. Перезагрузился в Безопасном режиме, на всякий случай с поддержкой cmd строки, запустил explorer, отредактировал hosts (127.0.0.1 localhost), перезагрузился в обычном режиме. Грузился долго, в итоге пропал Интернет, слетели все сетевые подключения, даже сетевая карта оказалась отключена. Посмотрел hosts, он дефолтный. Заблокировал его Avira-й от стороннего редактирования. Надо сказать, в системе установлены NOD32 u Avira PSS, но базы очень давно не актуальны. Проверился CureIt! и avz4, явным образом ничего обнаружено не было. Выплнил NetShell-ом сброс параметров TCP/IP и восстановление WinSock (netsh int ip reset ; netsh winsock reset). Перезагруз. Заново создал сетевые соединения, выполнил вход в Инет. Все вроде работает, но пару раз за сеанс снова появлялись сообщения Internet Securitу...
Высылаю Вам логи проверок Hijackthis и avz4, выполненные на этом этапе, ведь вредонос, подменявший hosts так и не был мной обнаружен. Заранее благодарен.
Последний раз редактировалось Eburgherr; 06.10.2010 в 14:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
ClearHostsFile;
RebootWindows(true);
end.
что с проблемой ...?
-
-
Junior Member
- Вес репутации
- 50
Пока файл hosts заблокирован Авирой, он защищен от редактирования, поэтому запись там стандартная (127.0.0.1 localhost). Но снял защиту, выполнил скрипт, перегрузился, поставил защиту. В Интернет ведет себя стабильно.
ЗЫ. А в логах авз4, как я понял, ничего заслуживающего внимания обнаружено не было?
-
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.78.240.31:80
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-