urix Опубликовано 11 июня, 2012 Жалоба Поделиться Опубликовано 11 июня, 2012 В общем ситуация на Windows 7 x64 Обмен пакетами с vk.com [159.253.18.32] с 32 байтами данных:Ответ от 159.253.18.32: число байт=32 время=201мс TTL=53...Обмен пакетами с odnoklassniki.ru [159.253.18.32] с 32 байтаОтвет от 159.253.18.32: число байт=32 время=282мс TTL=53 Файл hosts в привычном месте (%windir%\system32\drivers\etc) отсутствует.попытался поискать в реестре по 159.253.18.32 и мелкие файлы в системном разделе - ничего не нашел. сейчас запустил антивирус, жду... может, кто в курсе, подскажет что делать? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Eugene Опубликовано 11 июня, 2012 Жалоба Поделиться Опубликовано 11 июня, 2012 http://www.google.com.ua/search?client=opera&rls=ru&q=trojan.mayachok.1&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggestне ? Цитата Жизнь - вечная борьба: до обеда с голодом, после обеда со сном. Ссылка на комментарий Поделиться на другие сайты Поделиться
urix Опубликовано 11 июня, 2012 Автор Жалоба Поделиться Опубликовано 11 июня, 2012 http://www.google.com.ua/search?client=opera&rls=ru&q=trojan.mayachok.1&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggestне ?Спасибо.но, вроде,нет. CureIt на быстром сканировании ничего не нашел. продолжу завтра лечить компьютер сестры и племянника. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Инквизитор Опубликовано 11 июня, 2012 Жалоба Поделиться Опубликовано 11 июня, 2012 В общем ситуация на Windows 7 x64...%windir%\system32\drivers\etcА в 64-битной системе точно все это должно лежать в папке систем32 ? Цитата - Что они хотят? - Ку они хотят… Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость bred Опубликовано 11 июня, 2012 Жалоба Поделиться Опубликовано 11 июня, 2012 а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам? Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
urix Опубликовано 11 июня, 2012 Автор Жалоба Поделиться Опубликовано 11 июня, 2012 А в 64-битной системе точно все это должно лежать в папке систем32 ?Проверил на новой системе. Оказалось, что таких файлов 3. Но один из них именно в этой папке.Сейчас пока комп сестры оффлайн, но ценным советам/рекомендациям буду рад Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
urix Опубликовано 11 июня, 2012 Автор Жалоба Поделиться Опубликовано 11 июня, 2012 а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам? Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования.дык, искал и в реестре и в мелких (до 2МБ файлах)с флешки... вряд ли. я еле тимвьюер на той машине запустил :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость bred Опубликовано 11 июня, 2012 Жалоба Поделиться Опубликовано 11 июня, 2012 с флешки... вряд ли. я еле тимвьюер на той машине запустил :)с флешки (реаниматор винхп - 145 метров образ диска) я грузился и на машинке 2000 года выпуска. Как атлон 550 (мгц)/256Мб. И на "вектор" машинке 2001 или 2002 года выпуска - целка 1 гиг, 256 мб рама а искать в хттп зонах? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones? Мож там ключи в иной кодировке.. вообще всё по хттп поглядеть по реестру.. мож лишнего чего-незнакомого найдется.. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
urix Опубликовано 11 июня, 2012 Автор Жалоба Поделиться Опубликовано 11 июня, 2012 та я намекаю, что не смогу удаленно загрузить комп сестры с флешки :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
AMG Опубликовано 12 июня, 2012 Жалоба Поделиться Опубликовано 12 июня, 2012 Команда nslookup vk.com 8.8.8.8 что покажет? 1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.2) Проверьте, чтобы прокси-сервер не использовался.3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
urix Опубликовано 12 июня, 2012 Автор Жалоба Поделиться Опубликовано 12 июня, 2012 (изменено) Команда nslookup vk.com 8.8.8.8 что покажет? 1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.2) Проверьте, чтобы прокси-сервер не использовался.3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше... 0. nslookup дефолтного ДНС-а (с домашнего роутера) показывал "правильные" ip, настоящих социалок.1. думал что не имело смысла, т.к. см. п.0 2. Прокси в браузерах не смотрел, т.к. пинги и без браузеров ходили к фишинговому ip.а как посмотреть "общесистемный" прокси? забыл :)3. Смотрел тоталкоммандером, скрытые, системные, разумеется. hosts в стандартном месте остутствовал. где-то еще был, но там "чисто", в смысле не было записей с "контактами" и 159.253.18.32. Было только 127.0.0.1 на что-то майкрософтское, наверное, апдейт.CureIt в конце сканирования ругнулся на hosts (переписал его) и попросил перезагрузиться. Извините, забыл об этом написать. С тех пор на комп не заходил (на той стороне уже все собирались спать), и пока не знаю все ли в порядке. Вечером посмотрю, отчитаюсь :). PS. Посмотрел на результат вчерашней проверки др.Вэба. ... C:\Windows\system32\drivers\etc\hosts - OK ... C:\Windows\system32\drivers\etc\hosts - перемещен ----------------------------------------------------------------------------- Статистика проверки ----------------------------------------------------------------------------- Объектов проверено: 25907 Инфицированных: 0 Инфицированных модификациями: 0 Подозрительных: 0 Рекламных программ: 0 Программ дозвона: 0 Программ-шуток: 0 Потенциально опасных программ: 0 Программ взлома: 0 Исцелено: 0 Удалено: 0 Переименовано: 0 Перемещено: 0 Проигнорировано: 0 Скорость проверки: 2630 Kb/s Время проверки: 0:19:16 ----------------------------------------------------------------------------- C:\Windows\system32\drivers\etc\hosts - перемещен ============================================================================= Общая статистика сессии ============================================================================= Объектов проверено: 25908 Инфицированных: 0 Инфицированных модификациями: 0 Подозрительных: 0 Рекламных программ: 0 Программ дозвона: 0 Программ-шуток: 0 Потенциально опасных программ: 0 Программ взлома: 0 Исцелено: 0 Удалено: 0 Переименовано: 0 Перемещено: 0 Проигнорировано: 0 Скорость проверки: 2631 Kb/s Время проверки: 0:19:16 ============================================================================= C:\Windows\system32\drivers\etc\hosts - OK 'не было там этого файла и сейчас нет! а есть в C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-other_31bf3856ad364e35_6.1.7600.16385_none_6079f415110c0210 C:\Windows\system32\drivers\etc\hosts - перемещен 'да, лежит в карантине со всеми своими "контактами" Искал вчера тоталкомандеромом файлы размером до 2 МБ, содержащие IP фишингового сайта, не нашел. Сегодня проделал то же самое - нашел в карантине дрВэба. Резюме. Работоспособность восстановлена, CureIt ищет лучше меня.Открытым для меня остался вопрос: Где ж он, CureIt, все таки, нашел этот злополучный хостс. Изменено 12 июня, 2012 пользователем urix Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.