[urix]

В общем ситуация на Windows 7 x64

Обмен пакетами с vk.com [159.253.18.32] с 32 байтами данных:
Ответ от 159.253.18.32: число байт=32 время=201мс TTL=53
...
Обмен пакетами с odnoklassniki.ru [159.253.18.32] с 32 байта
Ответ от 159.253.18.32: число байт=32 время=282мс TTL=53


Файл hosts в привычном месте (%windir%\system32\drivers\etc) отсутствует.
попытался поискать в реестре по 159.253.18.32 и мелкие файлы в системном разделе - ничего не нашел.

сейчас запустил антивирус, жду...

может, кто в курсе, подскажет что делать?

[Eugene]

http://www.google.co...channel=suggest
не ?

[urix]

Eugene (11 июня 2012 - 23:49) писал:

http://www.google.co...channel=suggest
не ?

Спасибо.
но, вроде,нет. CureIt на быстром сканировании ничего не нашел.
продолжу завтра лечить компьютер сестры и племянника.

[Инквизитор]

urix сказал:

В общем ситуация на Windows 7 x64
...
%windir%\system32\drivers\etc

А в 64-битной системе точно все это должно лежать в папке систем32 ?

[urix]

Инквизитор (12 июня 2012 - 00:19) писал:

А в 64-битной системе точно все это должно лежать в папке систем32 ?

Проверил на новой системе. Оказалось, что таких файлов 3. Но один из них именно в этой папке.
Сейчас пока комп сестры оффлайн, но ценным советам/рекомендациям буду рад

[urix]

bred (12 июня 2012 - 00:30) писал:

а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам?
Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)
Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования.

дык, искал и в реестре и в мелких (до 2МБ файлах)
с флешки... вряд ли. я еле тимвьюер на той машине запустил

[urix]

та я намекаю, что не смогу удаленно загрузить комп сестры с флешки

[AMG]

Команда nslookup vk.com 8.8.8.8 что покажет?

1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.
2) Проверьте, чтобы прокси-сервер не использовался.
3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше...

[urix]

AMG (12 июня 2012 - 13:18) писал:

Команда nslookup vk.com 8.8.8.8 что покажет?

1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.
2) Проверьте, чтобы прокси-сервер не использовался.
3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше...

0. nslookup дефолтного ДНС-а (с домашнего роутера) показывал "правильные" ip, настоящих социалок.
1. думал что не имело смысла, т.к. см. п.0
2. Прокси в браузерах не смотрел, т.к. пинги и без браузеров ходили к фишинговому ip.
а как посмотреть "общесистемный" прокси? забыл
3. Смотрел тоталкоммандером, скрытые, системные, разумеется.
hosts в стандартном месте остутствовал. где-то еще был, но там "чисто", в смысле не было записей с "контактами" и 159.253.18.32. Было только 127.0.0.1 на что-то майкрософтское, наверное, апдейт.
CureIt в конце сканирования ругнулся на hosts (переписал его) и попросил перезагрузиться. Извините, забыл об этом написать.
С тех пор на комп не заходил (на той стороне уже все собирались спать), и пока не знаю все ли в порядке.
Вечером посмотрю, отчитаюсь .

PS. Посмотрел на результат вчерашней проверки др.Вэба.

Скрытый текст

...
C:\Windows\system32\drivers\etc\hosts - OK
...

C:\Windows\system32\drivers\etc\hosts - перемещен 


-----------------------------------------------------------------------------
Статистика проверки
-----------------------------------------------------------------------------
Объектов проверено: 25907
Инфицированных: 0
Инфицированных модификациями: 0
Подозрительных: 0
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 0
Переименовано: 0
Перемещено: 0
Проигнорировано: 0
Скорость проверки: 2630 Kb/s
Время проверки: 0:19:16
-----------------------------------------------------------------------------

C:\Windows\system32\drivers\etc\hosts - перемещен
=============================================================================
Общая статистика сессии
=============================================================================
Объектов проверено: 25908
Инфицированных: 0
Инфицированных модификациями: 0
Подозрительных: 0
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 0
Переименовано: 0
Перемещено: 0
Проигнорировано: 0
Скорость проверки: 2631 Kb/s
Время проверки: 0:19:16
=============================================================================

C:\Windows\system32\drivers\etc\hosts - OK 

'не было там этого файла и сейчас нет!

а есть в
C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-other_31bf3856ad364e35_6.1.7600.16385_none_6079f415110c0210

C:\Windows\system32\drivers\etc\hosts - перемещен

'да, лежит в карантине со всеми своими "контактами"
Искал вчера тоталкомандеромом файлы размером до 2 МБ, содержащие IP фишингового сайта, не нашел. Сегодня проделал то же самое - нашел в карантине дрВэба.

Резюме. Работоспособность восстановлена, CureIt ищет лучше меня.
Открытым для меня остался вопрос: Где ж он, CureIt, все таки, нашел этот злополучный хостс.

Сообщение отредактировал urix: 12 июня 2012 - 23:09