freewood
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
opt_step
Версия последняя, с сайта слил. Нет, у меня он тоже показывается через менеджер нормально, тот hosts файл который лежит в drivers/etc.
Но если запустить исследование системы, то в отчете, в блоке hosts, какие-то левые записи (от вируса). Вот я не могу понять, откуда он их в отчете взял.
Но записи рабочие, система их воспринимает.
Victor_VG
Честно говоря по диску C: не искал и в System Volume Information не смотрел, но всегда полагал, что единственное место где система просматривает соотношение имен-адресов, перед запросом к DNS, это hosts файл, который в винде лежит в drivers/etc. Но AVZ в отчете берет информацию еще где-то.
Объясню вкратце проблему которая вызвала такие вопросы.
Недавно (как по мне) появился зловред, который добавляет в автозагрузку (не помню точно где, помоему в реестр в RUN) команду:
Код:| copy c:\path\to\temp\JUjnf89if c:\path\to\hosts\hosts /Y && attr +H +S c:\path\to\hosts\hosts |
Тут все понятно, подменяется hosts файликом из временных файлов. Зловред который это делает, то ли удаляется антивиром, то ли сам ликвидируется, точно не знаю, но бинарника делающего это я не нашел (хотя в автозагрузке что-то левое висело, но уже уничтоженное).
Так вот фишка в том, что пытаемся серфить и периодически выскакивает какой-нибудь нехороший сайт про негодных тётенек. Окей, идем в hosts, и что мы там видем, там все чисто, прописан только локалхост. Открываем AVZшным менеджером hosts файла, тоже все чисто.
Проводим исследование системы с помощью AVZ и в секции hosts всплывают всякие гадкие записи, которые редиректят запросы всяких приблуд соцсетей на сайтах на вышеупомянутый гадкий сайт (там не такой просто ридерект, но грубыми словами так и получается).
Так вот я пытаюсь понять, откуда AVZ узнает про эти записи. |
