Разное

усё понятно. Сам значит дурак. И каспер тоже молодец.

Впрочем если бы был включен UAC, в указанные ключи реестра не пробиться бы было... это вам пришлось бы Opera из под администратора запускать, чтобы вирус смог там прописаться, а он скорее всего даже не пытается, если прав нет... В этом, кстати, большая проблема многих старых программ, они в тихую пытаются установиться туда, куда UAC теперь не пускает, запуск их из под администратора ничего не дает, так как они параллельные процессы запускают без наследования прав доступа: прав нет - ничего не пропишешь, нужно UAC отключать, чтобы поставить.

>Да, я заметил. Тока не hosts7, а host7
Поправлено.

>И вот скажите, возвращаясь к родительской теме, файервол (без антивиря) на это как-нибудь
>реагировал бы? Ведь все делалось через оперу, которой, например, разрешена любая сетевая
>активность.
Да, если бы был включен AntiLeak и настройка "Загружать драйвер" установлена в "Спрашивать". Он бы обязательно бы спросил вас, что вот дескать кто-то хочет загрузить драйвер, согласны или нет? Если бы вы ничего не ответили или нажали "нет", то и не разрешил бы этого.

Да, я заметил. Тока не hosts7, а host7
______
И вот скажите, возвращаясь к родительской теме, файервол (без антивиря) на это как-нибудь реагировал бы? Ведь все делалось через оперу, которой, например, разрешена любая сетевая активность.

Круто вы выловили его выловили... вам похоже и антивирус не нужен :))), тем более, что он со своими функциями явно хуже вас справляется.

PS Тему переименую и перетащу обратно в Разное.

Сделал (из под администратора), у меня не пропал, новый не создался (чему я несказанно рад :).

Все-таким мне кажется вы видите живой руткит, и он еще не выковырян с вашей машины, я так понимаю там еще черный ход должен быть, через который скрытый hosts7 должен регулярно правиться/обновляться с сайта-координатора.

В общем файл у меня назывался c:\windows\wetux.sys
Он и подключал host7 как hosts и скрывал его и себя.
Но подключался как-то не сразу, поэтому после ребута удалось его выловить и переименовать.
Прописывался он в реестре в секциях

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\newdriver HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\newdriver

Короче убил эти две секции, ребут.
host7 стал виден и в etс и в temp появился тот первый, ради которого все и писалось. Вот его содержимое

CvV5FG55v 31.184.242.84 sbrf.ru 31.184.242.84 www.sbrf.ru 31.184.242.84 esk.sbrf.ru 31.184.242.84 www.esk.sbrf.ru 31.184.242.84 esk.zubsb.ru 31.184.242.84 www.esk.zubsb.ru 31.184.242.92 www.click.alfabank.ru 31.184.242.92 click.alfabank.ru 31.184.242.92 www.alfabank.ru 31.184.242.92 alfabank.ru VVV66NBNb

но локалхосты еще работали....
Потом

ipconfig /flushdns

и все локалхосты прописанные в host7 работать перестали.
Теперь убиваем host7, убиваем c:\windows\wetux.sys, восстанавливаем hosts. Все работает )))

КОНЕЦ!

Но это не отменяет предыдущую просьбу. Т.к. ни первого ни второго файла из статьи я не вижу. И в автозагрузке тоже ниче лишнего (
Все, выловил окончательно! Ща опишу.

Ха. А вот и описание )

ВОТ ЭТО ПРИКОЛ !!!!

Дай, думаю, перестрахуюсь, сделаю то, о чем писал выше. И сделал.
Забэкапил на всякий случай hosts и переименовал оригинал в host7.
И что бы вы думали произошло??? Вот угадайте?

ОН ИСЧЕЗ! ))) Уличная магия, блин!
А на месте переименованного hosts тут же вырос новый с размером 0.
Но при этом ipconfig /displaydns показывает все мои локалхосты как будто в hosts они прописаны!

Как вам это? У меня на лоб глаза полезли!

-------------------------------------

Я конечно боюсь быть посланным куда подальше, но все же.... Не могли бы вы у себя попробовать такую манипуляцию провести? Надо бы узнать нормальное это поведение или у меня где-то вирус под системный процесс замаскировался. Плиииииз )