Вирус hosts. Помогите вычистить!

[Owls_shadow]

Доброго времени суток!
Собственно, похожие проблемы уже озвучивались на форуме неоднократно: сбрасывается авторизация с Вконтакта, блокируется доступ (в моём случае возникает окно во весь экран: "Сайт заблокирован. Отсылайте смс на номер:...") ко многим сайтам, в том числе и drweb-а. Запуск Кьюрита помогает на недели полторы, после чего всё повторяется заново, даже при посещении только годами проверенных сайтов, с которыми проблем не возникало ранее и не возникает сейчас при заходе на них с другого компьютера.

Также на многих сайтах, при переходе между разделами, часто открывается дополнительное окно Мозиллы (в Опере такого не наблюдается) с рекламой и ссылкой на загрузку антивируса MSE. Проверка этого сайта на онлайн-сканере drweb-а ничего не дала, пишет, что чисто. Если кому интересно, сайт вот: http://windows.microsoft.com/ru-RU/windows/security-essentials-download . Кьюрит от этой напасти не лечит.

Полная проверка и проверка при загрузке Авастом ничего не дали, равно как и Malwarebytes. Кьюрит находит: "Возможно: DFH.HOSTS.corrupted", вылечивает, далее на 5-10 дней с блокировкой проблем нет.

Содержимое папки WINDOWS\system32\drivers\etc я отслеживаю. В моменты возникновения блокировки вконтакта, drweb-а и иже с ними появляется не скрытый файл hosts.back, а в исходном файле hosts так и остаётся только локалхост.

Логи Mbam и OTL прикрепляю.

PS: Заодно хочется узнать, а с какого перепугу Аваст эту заразу не видит, хотя проблема уже давно известна у многих пользователей?

[Andrey,pro]

Owls_shadow,Здравствуйте! Добро пожаловать на форум!

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Самого зверька не вижу, где-то прячется во временных файлах, скрипт почистил временные файлы. Если скрипт не поможет, то сообщите об этом в сообщении!
Насчет того, почему аваст не определяет-вирусов много, ни один антивирус не может обеспечить 100% защиты

[Owls_shadow]

Спасибо, Андрей За оперативный ответ - особенно.
Видимо-таки зверушка пофиксилась, ибо пока что то окно с MSE не открывается. Буду смотреть-наблюдать.

С OTL я, правда, ступила в самом конце: после сообщения о завершении процесса, закрыла окно OTL, ребутить пришлось вручную с системника.
Лог:

Code: [Select]

All processes killed
========== OTL ==========
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 1412603918 bytes
->Temporary Internet Files folder emptied: 271708861 bytes
->Java cache emptied: 11 bytes
->FireFox cache emptied: 388548346 bytes
->Opera cache emptied: 53127110 bytes
->Flash cache emptied: 178688 bytes
 
User: All Users
 
User: All Users.WINDOWS
 
User: Default User
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2339456 bytes
%systemroot%\System32 .tmp files removed: 1624829 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 18830095 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2 050,00 mb
 
Unable to start System Restore Service. Error code 5
 
OTL by OldTimer - Version 3.2.69.0 log created on 03252013_222822

Files\Folders moved on Reboot...
C:\WINDOWS\temp\_avast_\Webshlock.txt moved successfully.
C:\WINDOWS\temp\_asw_aisI.tm~a04440\onefile.dld moved successfully.
C:\WINDOWS\temp\_asw_aisI.tm~a04440\setup.lok moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[makcunknown]

Думаю есть профит с файлом hosts, выставляем всем в безопасности запрет на запись папке etc.

[Owls_shadow]

makcunknown, где это можно сделать на отдельно взятом домашнем компе? Не могу вспомнить, где права учёток прописываются..

А интереса и любознательности моей ради, скажите, кто знает, такую вещь, имеет ли смысл ставить пометку для файла hosts "только для чтения"? Во избежание внесения изменений подобными вирусами.

[amid525]

А интереса и любознательности моей ради, скажите, кто знает, такую вещь, имеет ли смысл ставить пометку для файла hosts "только для чтения"? Во избежание внесения изменений подобными вирусами.

Не можно, а и должно так.

[makcunknown]

А интереса и любознательности моей ради, скажите, кто знает, такую вещь, имеет ли смысл ставить пометку для файла hosts "только для чтения"? Во избежание внесения изменений подобными вирусами.

Только чтение смысла нет, т.к. вирусы host обычно этот фаил делают back, и создают свой.
 

[Owls_shadow]

Вот оно что )) У меня, собственно, так и было. Но hosts.back адекватно читаться не хотел. Спасибо.
А про запрет на запись подскажете?