urix Опубликовано 11 июня, 2012 Жалоба Опубликовано 11 июня, 2012 В общем ситуация на Windows 7 x64 Обмен пакетами с vk.com [159.253.18.32] с 32 байтами данных:Ответ от 159.253.18.32: число байт=32 время=201мс TTL=53...Обмен пакетами с odnoklassniki.ru [159.253.18.32] с 32 байтаОтвет от 159.253.18.32: число байт=32 время=282мс TTL=53 Файл hosts в привычном месте (%windir%\system32\drivers\etc) отсутствует.попытался поискать в реестре по 159.253.18.32 и мелкие файлы в системном разделе - ничего не нашел. сейчас запустил антивирус, жду... может, кто в курсе, подскажет что делать? Цитата
Eugene Опубликовано 11 июня, 2012 Жалоба Опубликовано 11 июня, 2012 http://www.google.com.ua/search?client=opera&rls=ru&q=trojan.mayachok.1&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggestне ? Цитата Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
urix Опубликовано 11 июня, 2012 Автор Жалоба Опубликовано 11 июня, 2012 http://www.google.com.ua/search?client=opera&rls=ru&q=trojan.mayachok.1&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggestне ?Спасибо.но, вроде,нет. CureIt на быстром сканировании ничего не нашел. продолжу завтра лечить компьютер сестры и племянника. Цитата
Инквизитор Опубликовано 11 июня, 2012 Жалоба Опубликовано 11 июня, 2012 В общем ситуация на Windows 7 x64...%windir%\system32\drivers\etcА в 64-битной системе точно все это должно лежать в папке систем32 ? Цитата - Что они хотят? - Ку они хотят…
Гость bred Опубликовано 11 июня, 2012 Жалоба Опубликовано 11 июня, 2012 а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам? Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования. Цитата
urix Опубликовано 11 июня, 2012 Автор Жалоба Опубликовано 11 июня, 2012 А в 64-битной системе точно все это должно лежать в папке систем32 ?Проверил на новой системе. Оказалось, что таких файлов 3. Но один из них именно в этой папке.Сейчас пока комп сестры оффлайн, но ценным советам/рекомендациям буду рад Цитата
urix Опубликовано 11 июня, 2012 Автор Жалоба Опубликовано 11 июня, 2012 а поискать по реестру записи "vk.com" или одноклассников, или по ентим ипам? Или открыть процесс эксплорер, посмотреть, какие длл-ки к svchost процессам прилепимшись, погуглить их на предмет принадлежности к винде и размеру, контрольной сумме, .. (ну, это если антивирь не найдет автоматом)Ну, попутно также можно загрузиться с флешки и пустить антивирь - тогда точно никакие процессы не смогут скрыться от сканирования.дык, искал и в реестре и в мелких (до 2МБ файлах)с флешки... вряд ли. я еле тимвьюер на той машине запустил :) Цитата
Гость bred Опубликовано 11 июня, 2012 Жалоба Опубликовано 11 июня, 2012 с флешки... вряд ли. я еле тимвьюер на той машине запустил :)с флешки (реаниматор винхп - 145 метров образ диска) я грузился и на машинке 2000 года выпуска. Как атлон 550 (мгц)/256Мб. И на "вектор" машинке 2001 или 2002 года выпуска - целка 1 гиг, 256 мб рама а искать в хттп зонах? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones? Мож там ключи в иной кодировке.. вообще всё по хттп поглядеть по реестру.. мож лишнего чего-незнакомого найдется.. Цитата
urix Опубликовано 11 июня, 2012 Автор Жалоба Опубликовано 11 июня, 2012 та я намекаю, что не смогу удаленно загрузить комп сестры с флешки :) Цитата
AMG Опубликовано 12 июня, 2012 Жалоба Опубликовано 12 июня, 2012 Команда nslookup vk.com 8.8.8.8 что покажет? 1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.2) Проверьте, чтобы прокси-сервер не использовался.3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше... Цитата
urix Опубликовано 12 июня, 2012 Автор Жалоба Опубликовано 12 июня, 2012 (изменено) Команда nslookup vk.com 8.8.8.8 что покажет? 1) Попробуйте прописать общедоступные днсы (8.8.8.8, 8.8.4.4) в сетевом соединении, может текущие DNS сервера провайдера/работы перекрывают зоны социалочек.2) Проверьте, чтобы прокси-сервер не использовался.3) "Показ скрытых и системных файлов" в свойствах Проводника включён????, странно, что etc\hosts отсутствует... CureIt на доп. записи в нём/его отсутствие ругался раньше... 0. nslookup дефолтного ДНС-а (с домашнего роутера) показывал "правильные" ip, настоящих социалок.1. думал что не имело смысла, т.к. см. п.0 2. Прокси в браузерах не смотрел, т.к. пинги и без браузеров ходили к фишинговому ip.а как посмотреть "общесистемный" прокси? забыл :)3. Смотрел тоталкоммандером, скрытые, системные, разумеется. hosts в стандартном месте остутствовал. где-то еще был, но там "чисто", в смысле не было записей с "контактами" и 159.253.18.32. Было только 127.0.0.1 на что-то майкрософтское, наверное, апдейт.CureIt в конце сканирования ругнулся на hosts (переписал его) и попросил перезагрузиться. Извините, забыл об этом написать. С тех пор на комп не заходил (на той стороне уже все собирались спать), и пока не знаю все ли в порядке. Вечером посмотрю, отчитаюсь :). PS. Посмотрел на результат вчерашней проверки др.Вэба. ... C:\Windows\system32\drivers\etc\hosts - OK ... C:\Windows\system32\drivers\etc\hosts - перемещен ----------------------------------------------------------------------------- Статистика проверки ----------------------------------------------------------------------------- Объектов проверено: 25907 Инфицированных: 0 Инфицированных модификациями: 0 Подозрительных: 0 Рекламных программ: 0 Программ дозвона: 0 Программ-шуток: 0 Потенциально опасных программ: 0 Программ взлома: 0 Исцелено: 0 Удалено: 0 Переименовано: 0 Перемещено: 0 Проигнорировано: 0 Скорость проверки: 2630 Kb/s Время проверки: 0:19:16 ----------------------------------------------------------------------------- C:\Windows\system32\drivers\etc\hosts - перемещен ============================================================================= Общая статистика сессии ============================================================================= Объектов проверено: 25908 Инфицированных: 0 Инфицированных модификациями: 0 Подозрительных: 0 Рекламных программ: 0 Программ дозвона: 0 Программ-шуток: 0 Потенциально опасных программ: 0 Программ взлома: 0 Исцелено: 0 Удалено: 0 Переименовано: 0 Перемещено: 0 Проигнорировано: 0 Скорость проверки: 2631 Kb/s Время проверки: 0:19:16 ============================================================================= C:\Windows\system32\drivers\etc\hosts - OK 'не было там этого файла и сейчас нет! а есть в C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-other_31bf3856ad364e35_6.1.7600.16385_none_6079f415110c0210 C:\Windows\system32\drivers\etc\hosts - перемещен 'да, лежит в карантине со всеми своими "контактами" Искал вчера тоталкомандеромом файлы размером до 2 МБ, содержащие IP фишингового сайта, не нашел. Сегодня проделал то же самое - нашел в карантине дрВэба. Резюме. Работоспособность восстановлена, CureIt ищет лучше меня.Открытым для меня остался вопрос: Где ж он, CureIt, все таки, нашел этот злополучный хостс. Изменено 12 июня, 2012 пользователем urix Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.