247 ответов в этой теме

[run]

Но при этом антивирусу придется после каждого изменения пользователем файла hosts "запоминать" его новое состояние (по CRC или еще как-то). Т.е. при следующей проверке АВ должен сверить текущее состояние файла с последним легитимным.
А теперь представьте, что в какой-то период пользователю по какой-либо причине пришлось отключить на время контроль за hosts. В этот период любые изменения файла не "запоминаются" антивирусом, и как следствие будут "вынесены" после возобновления контроля, даже если они были сделаны пользователем. И снова буду претензии пользователей - почему АВ удалил мои правки? Т.е. это решение не универсальное.
А вот включение hosts в исключения как раз и есть универсальное решение.
Можно было бы задать вопрос пользователю: Обнаружено изменение файла hosts -> Посмотреть содержимое -> Исправить/Игнорировать.
Вот только, боюсь, домохозяйку это введет в ступор.

При желании все можно сделать, к примеру в качестве бреда сохранять копию файла и при каждом включении АВ будет сверять свою с локальной, если за то время когда АВ был в ауте хост не совпал заменяем на тот что имеется.
Это лучше чем тупой молчаливый игнор и красный юзер который не понимает почему ничего не ставится и не работает или каждую прерванную установку доделывать в ручную. Да и не забывайте какие суперские у доктора "журналы" что либо найти там и посмотреть что все таки происходит не реально. И потом кого все устраивает могут сидеть на автомате, ну не прокатило и ладно сидим пальцем в носу ковыряем, но остальные то почему мучаются.
Меня вот больше всего пугает что вот все эти независимые кастилики, не взаимодействуют с собой или взаимодействуют но как то странно и по своему.

Сообщение было изменено run: 10 Январь 2013 - 15:47

[lw12]

В настройках сканера про руткиты не нашел, задал выборочную руткиты. Посмотрим.
А в настройках фонового мониторинга руткиты стоят. До сих пор молчит. По каким параметрам он определяет изменение хостс?

Прикрепленные файлы:

•  1.PNG   14,45К   0 Скачано раз

[pig]

Когда доберётся до него, тогда и определит. Фоновое сканирование - штука медленная, специально чтобы поменьше нагружать машину.

[lw12]

И сканер мимо пролетел при проверке на руткиты.

Прикрепленные файлы:

•  2.PNG   6,24К   1 Скачано раз

[lw12]

Когда доберётся до него, тогда и определит. Фоновое сканирование - штука медленная, специально чтобы поменьше нагружать машину.

2 часа это мало еще?

[lw12]

Если в хостс аккуратно удаляем то что я выделил и сохраняем, сканер ничего не выдает, пропускает. фоновая тоже молчит.
Понапихал в него побольше, оба заорали.

Прикрепленные файлы:

•  1.PNG   31,19К   1 Скачано раз

[lw12]

Ну так что такой файл считается чистым? Не ругается на него.

Прикрепленные файлы:

•  2.PNG   27,65К   2 Скачано раз

[Pavel Plotnikov]

Ну так что такой файл считается чистым? Не ругается на него.

Да, чистый.

[lw12]

Ну так что такой файл считается чистым? Не ругается на него.

Да, чистый.

Тогда не понятно почему?
Вот было заражение у меня http://forum.drweb.com/index.php?showtopic=312209
Файл хостс имел именно такой вид.

[Konstantin Yudin]

Ну так что такой файл считается чистым? Не ругается на него.

чистота зависит от версии ОС.

Ну так что такой файл считается чистым? Не ругается на него.

Да, чистый.

Тогда не понятно почему?
Вот было заражение у меня http://forum.drweb.com/index.php?showtopic=312209
Файл хостс имел именно такой вид.

я думаю если бы вы пару экранов пролистали вниз файла то увидели бы почему

[pig]

Не такой. Потому что

А эти записи я так понял из реестра.
O1 - Hosts: 37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
O1 - Hosts: 37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru

Не из реестра эти записи вовсе, а из HOSTS. Возможные варианты:
- много-много пустых строк, в окне вроде всё как надо, а если пролистать...
- настоящий HOSTS сурово скрыт, а вам подсунут левый с русской буквой в имени

[Dmitry_rus]

- настоящий HOSTS сурово скрыт, а вам подсунут левый с русской буквой в имени

и еще вариант - HOSTS даже без всяких русских букв. И даже не скрыт. Просто реальное его расположение - другое (см. реестр). Кстати, интересно, Доктор анализирует это значение реестра для поиска HOSTS, или пытается найти его там, где он должен быть "по умолчанию"?

Сообщение было изменено Dmitry_rus: 10 Январь 2013 - 17:10

[lw12]

я думаю если бы вы пару экранов пролистали вниз файла то увидели бы почему

Сейчас уже утверждать ничего не буду, но ниже 127.0.0.1 было вроде несколько пустых строк и все. В блокноте линейки справа не было вроде.
Ну ладно, поживем увидем.

[Konstantin Yudin]

- настоящий HOSTS сурово скрыт, а вам подсунут левый с русской буквой в имени

и еще вариант - HOSTS даже без всяких русских букв. И даже не скрыт. Просто реальное его расположение - другое (см. реестр). Кстати, интересно, Доктор анализирует это значение реестра для поиска HOSTS, или пытается найти его там, где он должен быть "по умолчанию"?

анализирует. проверяю дефолтный и по параметру в реестре. лечу оба если надо. чтоб наверняка. щас модно менять путь к хосту.

Сообщение было изменено Konstantin Yudin: 10 Январь 2013 - 17:57

[lw12]

Не такой. Потому что

А эти записи я так понял из реестра.
O1 - Hosts: 37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
O1 - Hosts: 37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru

Не из реестра эти записи вовсе, а из HOSTS. Возможные варианты:
- много-много пустых строк, в окне вроде всё как надо, а если пролистать...
- настоящий HOSTS сурово скрыт, а вам подсунут левый с русской буквой в имени

Тогда не понятно что он мне вылечил
Как я там писал в лечении
Скачал Cureit он нашел в файле hosts что-то. Вылечил, не помогло.

[Pavel Plotnikov]

Не такой. Потому что

А эти записи я так понял из реестра.
O1 - Hosts: 37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
O1 - Hosts: 37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru

Не из реестра эти записи вовсе, а из HOSTS. Возможные варианты:
- много-много пустых строк, в окне вроде всё как надо, а если пролистать...
- настоящий HOSTS сурово скрыт, а вам подсунут левый с русской буквой в имени

Тогда не понятно что он мне вылечил
Как я там писал в лечении
Скачал Cureit он нашел в файле hosts что-то. Вылечил, не помогло.

Лог проверки?

[lw12]

Лог проверки?

http://forum.drweb.com/index.php?app=core&module=attach&section=attach&attach_id=30960

[Konstantin Yudin]

Лог проверки?

http://forum.drweb.com/index.php?app=core&module=attach&section=attach&attach_id=30960

не вижу лечения в логе.

[lw12]

Лог проверки?

http://forum.drweb.com/index.php?app=core&module=attach&section=attach&attach_id=30960

не вижу лечения в логе.

Вот же блин, я совсем забыл. Не стал я им лечить, решил глянуть что там и потом сам восстановил из hosts.sam

[lw12]

Ладно фиг с ним этим хостс. Лучше скажите, доктор поймал заразу и пассы от фтп клиента успели убежать и файл хостс переписать. Кто кого опережает?
Как их защищать? Не хранить? )))

Сообщение было изменено lw12: 10 Январь 2013 - 18:34