Симферопольский Форум: фишинг fishing hosts odnoklassniki vkontakte - Симферопольский Форум

Перейти к содержимому

Внимание! Для всех новых пользователей введена премодерация сообщений и тем.
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

фишинг fishing hosts odnoklassniki vkontakte

#1 Пользователь онлайн   urix 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 425
  • Регистрация: 17 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 11 Июнь 2012 - 23:45

В общем ситуация на Windows 7 x64

Обмен пакетами с vk.com [159.253.18.32] с 32 байтами данных:
Ответ от 159.253.18.32: число байт=32 время=201мс TTL=53
...
Обмен пакетами с odnoklassniki.ru [159.253.18.32] с 32 байта
Ответ от 159.253.18.32: число байт=32 время=282мс TTL=53


Файл hosts в привычном месте (%windir%\system32\drivers\etc) отсутствует.
попытался поискать в реестре по 159.253.18.32 и мелкие файлы в системном разделе - ничего не нашел.

сейчас запустил антивирус, жду...

может, кто в курсе, подскажет что делать?


#2 Пользователь офлайн   Eugene 

  • Юджин
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 653
  • Регистрация: 16 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь

Отправлено 11 Июнь 2012 - 23:49

http://www.google.co...channel=suggest
не ?

Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.

#3 Пользователь онлайн   urix 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 425
  • Регистрация: 17 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 12 Июнь 2012 - 00:11

Просмотр сообщенияEugene (11 Июнь 2012 - 23:49) писал:


Спасибо.
но, вроде,нет. CureIt на быстром сканировании ничего не нашел.
продолжу завтра лечить компьютер сестры и племянника.


#4 Пользователь офлайн   Инквизитор 

  • Vexilla regis prodeunt inferni
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 10 768
  • Регистрация: 20 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 12 Июнь 2012 - 00:19

Просмотр сообщенияurix сказал:

В общем ситуация на Windows 7 x64
...
%windir%\system32\drivers\etc

А в 64-битной системе точно все это должно лежать в папке систем32 ?

Форум скатывается в сраный аванет?

#5 Гость_bred_*

  • Группа: Гости

Отправлено 12 Июнь 2012 - 00:30

а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам?
Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)
Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования.


#6 Пользователь онлайн   urix 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 425
  • Регистрация: 17 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 12 Июнь 2012 - 00:31

Просмотр сообщенияИнквизитор (12 Июнь 2012 - 00:19) писал:

А в 64-битной системе точно все это должно лежать в папке систем32 ?

Проверил на новой системе. Оказалось, что таких файлов 3. Но один из них именно в этой папке.
Сейчас пока комп сестры оффлайн, но ценным советам/рекомендациям буду рад


#7 Пользователь онлайн   urix 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 425
  • Регистрация: 17 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 12 Июнь 2012 - 00:35

Просмотр сообщенияbred (12 Июнь 2012 - 00:30) писал:

а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам?
Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)
Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования.

дык, искал и в реестре и в мелких (до 2МБ файлах)
с флешки... вряд ли. я еле тимвьюер на той машине запустил :)


#8 Гость_bred_*

  • Группа: Гости

Отправлено 12 Июнь 2012 - 02:08

Просмотр сообщенияurix (12 Июнь 2012 - 00:35) писал:

с флешки... вряд ли. я еле тимвьюер на той машине запустил :)

с флешки (реаниматор винхп - 145 метров образ диска) я грузился и на машинке 2000 года выпуска. Как атлон 550 (мгц)/256Мб. И на "вектор" машинке 2001 или 2002 года выпуска - целка 1 гиг, 256 мб рама

а искать в хттп зонах?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
?
Мож там ключи в иной кодировке..
вообще всё по хттп поглядеть по реестру.. мож лишнего чего-незнакомого найдется..


#9 Пользователь онлайн   urix 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 425
  • Регистрация: 17 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 12 Июнь 2012 - 02:15

та я намекаю, что не смогу удаленно загрузить комп сестры с флешки :)


#10 Пользователь офлайн   AMG 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 319
  • Регистрация: 22 Октябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь

Отправлено 12 Июнь 2012 - 13:18

Команда nslookup vk.com 8.8.8.8 что покажет?

1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.
2) Проверьте, чтобы прокси-сервер не использовался.
3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше...


Поблагодарили: 1

#11 Пользователь онлайн   urix 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 425
  • Регистрация: 17 Сентябрь 10
  • Сказали спасибо раз:

Отправлено 12 Июнь 2012 - 13:43

Просмотр сообщенияAMG (12 Июнь 2012 - 13:18) писал:

Команда nslookup vk.com 8.8.8.8 что покажет?

1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.
2) Проверьте, чтобы прокси-сервер не использовался.
3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше...


0. nslookup дефолтного ДНС-а (с домашнего роутера) показывал "правильные" ip, настоящих социалок.
1. думал что не имело смысла, т.к. см. п.0
2. Прокси в браузерах не смотрел, т.к. пинги и без браузеров ходили к фишинговому ip.
а как посмотреть "общесистемный" прокси? забыл :)
3. Смотрел тоталкоммандером, скрытые, системные, разумеется.
hosts в стандартном месте остутствовал. где-то еще был, но там "чисто", в смысле не было записей с "контактами" и 159.253.18.32. Было только 127.0.0.1 на что-то майкрософтское, наверное, апдейт.
CureIt в конце сканирования ругнулся на hosts (переписал его) и попросил перезагрузиться. Извините, забыл об этом написать.
С тех пор на комп не заходил (на той стороне уже все собирались спать), и пока не знаю все ли в порядке.
Вечером посмотрю, отчитаюсь :).

PS. Посмотрел на результат вчерашней проверки др.Вэба.
Скрытый текст


C:\Windows\system32\drivers\etc\hosts - OK 
'не было там этого файла и сейчас нет!

а есть в
C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-other_31bf3856ad364e35_6.1.7600.16385_none_6079f415110c0210

C:\Windows\system32\drivers\etc\hosts - перемещен
'да, лежит в карантине со всеми своими "контактами"
Искал вчера тоталкомандеромом файлы размером до 2 МБ, содержащие IP фишингового сайта, не нашел. Сегодня проделал то же самое - нашел в карантине дрВэба.

Резюме. Работоспособность восстановлена, CureIt ищет лучше меня.
Открытым для меня остался вопрос: Где ж он, CureIt, все таки, нашел этот злополучный хостс.

Сообщение отредактировал urix: 12 Июнь 2012 - 23:09


Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей