Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.96/24: Рейтинг темы: голосов - 24, средняя оценка - 4.96
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
1

Подмена iP

06.10.2011, 17:39. Просмотров 4394. Ответов 17
Метки нет (Все метки)

Есть аккаунт на WMmail.ru. На сайте стоит защита по iP. Пару переходов по сайту и приходится
снова входить в аккаунт. А там сообщение "у вас сменился iP или браузер.
Сервис по проверке iP - Яндекс и 2iP это подтверждают, но не каждый раз.
Проблема точно не у провайдера, так как менял провайдера.
Заходил с другого компьютера всё отлично.

Про динамический Ip я знаю, только он меняется при смене сессии, а не при переключении страниц в браузере. Провайдер Мегафон. Заходил с МТС - аналогичная картина.
С другого компа всё отлично, там МТС

Выполняю в AVZ скрипт №1 - после него пару часов всё нормально.
Комп работает быстрей - папки открываются мгновенно.
Потом та же картина. Снова скрипт №1, и опять на пару часов можно работать.
Это же не выход.

И ещё вопрос? Восстановление системы отключено,точек нет, а в AVZ,
в протоколе пишет - восстановление включено - это глюк AVZ?
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (19.0 Кб, 15 просмотров)
Тип файла: zip virusinfo_syscure.zip (17.7 Кб, 12 просмотров)
Тип файла: log hijackthis.log (5.0 Кб, 11 просмотров)
Тип файла: txt avz_log.txt (13.1 Кб, 44 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
06.10.2011, 17:39
Ответы с готовыми решениями:

Подмена файла hosts, подмена стартовой страницы, обращение utorrent к подозрительным адресам
Добрый день! Попал в руки ноутбук со следующей проблемой: браузер не открывал...

Подмена VK.Com
Добрый день. Подмена vk.com hosts чистый никаких следов логи прилагаю. помогите...

Подмена изображений
ДОбрый день! На разных сайтах происходит подмена изображений на рекламу....

Подмена страницы в vk
Здравствуйте! С такой проблемой я сталкиваюсь впервые, и всех моих скудных...

Подмена сайтов
Здравствуйте После того, как угнали пароль от QIWI кошелька, обнаружил подмену...

17
Katharsis
Заблокирован
06.10.2011, 22:47 2
сделайте логи RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Цитата Сообщение от Горнн Посмотреть сообщение
Провайдер Мегафон
VPN или usb модем?
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
07.10.2011, 00:55  [ТС] 3
Цитата Сообщение от Katharsis Посмотреть сообщение
usb модем
- Мегафон.
ТЛФ как модем - МТС.

Цитата Сообщение от Katharsis Посмотреть сообщение
Malwarebytes' Anti-Malware
Руская версия 1.42.0.0 не подойдёт?
0
Katharsis
Заблокирован
07.10.2011, 01:11 4
Цитата Сообщение от Горнн Посмотреть сообщение
Руская версия 1.42.0.0 не подойдёт?
свежую скачайте и обновите базы
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
07.10.2011, 01:17  [ТС] 5
Спасибо!
Уже качаю.
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
07.10.2011, 10:28  [ТС] 6
Логи Malwarebytes' Anti-Malware
0
Вложения
Тип файла: txt mbam-log-2011-10-07 (08-06-37).txt (1.2 Кб, 28 просмотров)
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
07.10.2011, 11:13 7
Повторите сканирование MBAM и удалите:

Код
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.
Зараженные файлы:
c:\Users\Людмила\AppData\Local\Temp\0.40814813016181406.exe (Exploit.Drop.2) -> No action taken.
Проверьте на www.virustotal.com
Код
c:\program files\CLCL\CLCL.exe (Trojan.FakeAlert) -> No action taken.
c:\Setup\Setup.exe (Trojan.Spambot) -> No action taken.
Ссылки на результаты анализа опубликуйте в этой теме.
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
07.10.2011, 19:17  [ТС] 8
Отчёт с virustotal.com
File name:
CLCL.exe
Submission date:
2011-10-07 13:31:38 (UTC)
Current status:
queued queued analysing finished
Result:
1/ 43 (2.3%)

CLCL - Это утилита кеширования буфера обмена. Авторское право (C) 1996-2005 Nakashima Tomoaki. Все права защищены. http://www.nakka.com/
Перевод: NyBumBum km67@km.ru

c:\Setup\Setup.exe (Trojan.Spambot) - Это моя сборка с использованием триальной версией программы
для сборки инстоляторов. Троян я туда не вставлял. Название программы не помню, и уже удалил. Проверить не смог - медленный интернет - не загружается на virustotal.com

HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) Это ключ программы для авто сёрфинга - удалил, прога работает.

c:\Users\Людмила\AppData\Local\Temp\0.40814813016181406.exe - А это похоже на заразу, хотя больше его ни где нет.

3 часа прошло, пока не выбивает с сайта.

Только осталась неясность, что за зараза подменяла iP адрес, и ей было без разницы в каком браузере и какой провайдер. С компа делала Tor Browser наполовину - меняла 3-4 последние цифры.
Провайдер сообщил, что iP менялся только при смене сессии.

Спасибо огромное за помощь. Надеюсь, что её победили.
0
Katharsis
Заблокирован
07.10.2011, 19:30 9
Цитата Сообщение от Katharsis Посмотреть сообщение
сделайте логи RSIT
Лог мы так и не увидели. Если что то осталось - дело ваше.
_________________________________________________________

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f
Нажмите enter.


Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
07.10.2011, 19:52  [ТС] 10
Цитата Сообщение от Katharsis Посмотреть сообщение
лог мы так и не увидели.
Какой лог? Если Malwarebytes' Anti-Malware - там всё чисто и удалено.

Цитата Сообщение от Katharsis Посмотреть сообщение
сделайте логи RSIT
Сейчас скачаю, и сделаю.

Добавлено через 18 минут
Все пункты по защите ПК перечисленные выше используются, в добавок ещё песочница.
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
09.10.2011, 03:23  [ТС] 11
Логи RSIT пришлось заархивировать - больше 20кб
log.7z

info.7z

Извините за задержку - уезжал от этого компа.
0
Katharsis
Заблокирован
09.10.2011, 12:34 12
avptool удалите с компьютера
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
09.10.2011, 16:56  [ТС] 13
Цитата Сообщение от Katharsis Посмотреть сообщение
avptool удалите с компьютера
Можно по подробней, вроде она сама должна удалятся?
0
Katharsis
Заблокирован
09.10.2011, 18:00 14
при закрытии предлагает удалить себя, но у вас похоже не доудалилась
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
09.10.2011, 21:06  [ТС] 15
Подскажите где её найти, всё пересмотрел не могу найти.
0
Katharsis
Заблокирован
09.10.2011, 21:20 16
вот остатки:
C:\Users\Сергей\AppData\Local\Temp\_uninst_83407325.bat
52989378 C:\Windows\system32\DRIVERS\52989378.sys
83407325 C:\Windows\system32\DRIVERS\83407325.sys

ок, нет значит нет
0
Горнн
22 / 21 / 3
Регистрация: 10.11.2009
Сообщений: 302
09.10.2011, 22:31  [ТС] 17
Спасибо! Иду чистить.
0
Katharsis
Заблокирован
09.10.2011, 22:41 18
эти остатки со временем и так будут вычищены, если время от времени используете ПО для чистки мусора (временные папки, пустые ключи реестра и тп).
0
09.10.2011, 22:41
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
09.10.2011, 22:41

Подмена ярлыков
Добрый день, собственно проблема. Ярлыки браузера подменяются на bat. в...

Подмена браузера
После обновления KMP плеера заметил что google chrome и другие браузеры у меня...

Подмена dns
все началось с того, что во всех устройствах, подключенных к домашней сети...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru