Вирус hosts. Помогите вычистить!

Non-English Boards Русский
1

Доброго времени суток! :slight_smile:
Собственно, похожие проблемы уже озвучивались на форуме неоднократно: сбрасывается авторизация с Вконтакта, блокируется доступ (в моём случае возникает окно во весь экран: “Сайт заблокирован. Отсылайте смс на номер:…”) ко многим сайтам, в том числе и drweb-а. Запуск Кьюрита помогает на недели полторы, после чего всё повторяется заново, даже при посещении только годами проверенных сайтов, с которыми проблем не возникало ранее и не возникает сейчас при заходе на них с другого компьютера.

Также на многих сайтах, при переходе между разделами, часто открывается дополнительное окно Мозиллы (в Опере такого не наблюдается) с рекламой и ссылкой на загрузку антивируса MSE. Проверка этого сайта на онлайн-сканере drweb-а ничего не дала, пишет, что чисто. Если кому интересно, сайт вот: http://windows.microsoft.com/ru-RU/windows/security-essentials-download . Кьюрит от этой напасти не лечит.

Полная проверка и проверка при загрузке Авастом ничего не дали, равно как и Malwarebytes. Кьюрит находит: “Возможно: DFH.HOSTS.corrupted”, вылечивает, далее на 5-10 дней с блокировкой проблем нет.

Содержимое папки WINDOWS\system32\drivers\etc я отслеживаю. В моменты возникновения блокировки вконтакта, drweb-а и иже с ними появляется не скрытый файл hosts.back, а в исходном файле hosts так и остаётся только локалхост.

Логи Mbam и OTL прикрепляю.

PS: Заодно хочется узнать, а с какого перепугу Аваст эту заразу не видит, хотя проблема уже давно известна у многих пользователей?

2

Owls_shadow,Здравствуйте! Добро пожаловать на форум!

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Самого зверька не вижу, где-то прячется во временных файлах, скрипт почистил временные файлы. Если скрипт не поможет, то сообщите об этом в сообщении!
Насчет того, почему аваст не определяет-вирусов много, ни один антивирус не может обеспечить 100% защиты

3

Спасибо, Андрей :slight_smile: За оперативный ответ - особенно.
Видимо-таки зверушка пофиксилась, ибо пока что то окно с MSE не открывается. Буду смотреть-наблюдать.

С OTL я, правда, ступила в самом конце: после сообщения о завершении процесса, закрыла окно OTL, ребутить пришлось вручную с системника.
Лог:

All processes killed
========== OTL ==========
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 1412603918 bytes
->Temporary Internet Files folder emptied: 271708861 bytes
->Java cache emptied: 11 bytes
->FireFox cache emptied: 388548346 bytes
->Opera cache emptied: 53127110 bytes
->Flash cache emptied: 178688 bytes
 
User: All Users
 
User: All Users.WINDOWS
 
User: Default User
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2339456 bytes
%systemroot%\System32 .tmp files removed: 1624829 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 18830095 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2 050,00 mb
 
Unable to start System Restore Service. Error code 5
 
OTL by OldTimer - Version 3.2.69.0 log created on 03252013_222822

Files\Folders moved on Reboot...
C:\WINDOWS\temp\_avast_\Webshlock.txt moved successfully.
C:\WINDOWS\temp\_asw_aisI.tm~a04440\onefile.dld moved successfully.
C:\WINDOWS\temp\_asw_aisI.tm~a04440\setup.lok moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
4

Думаю есть профит с файлом hosts, выставляем всем в безопасности запрет на запись папке etc.

5

makcunknown, где это можно сделать на отдельно взятом домашнем компе? Не могу вспомнить, где права учёток прописываются…

А интереса и любознательности моей ради, скажите, кто знает, такую вещь, имеет ли смысл ставить пометку для файла hosts “только для чтения”? Во избежание внесения изменений подобными вирусами.

6

Не можно, а и должно так.

7

Только чтение смысла нет, т.к. вирусы host обычно этот фаил делают back, и создают свой.

8

Вот оно что )) У меня, собственно, так и было. Но hosts.back адекватно читаться не хотел. Спасибо.
А про запрет на запись подскажете?