Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/24: Рейтинг темы: голосов - 24, средняя оценка - 4.83
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
1

Подмена файла hosts, подмена стартовой страницы, обращение utorrent к подозрительным адресам

27.07.2013, 09:24. Просмотров 4988. Ответов 11
Метки нет (Все метки)

Добрый день! Попал в руки ноутбук со следующей проблемой: браузер не открывал доступ к сайтам и поисковым системам, сообщая о использовании нелегального ПО и предлагая снять блокировку с помощью оплаты по СМС. В автозагрузке нашел строки о загрузке и модификации hosts файла. Проверив сам файл, обнаружил, что он изменен добавлением к нему строк с адресами ведущими на сторонние сайты. В папке с файлом был также найден файл hosts.bac на который стал ругаться установленный Avast! Что бы получить доступ к этому сайту, через LiveCD hosts был отредактирован, а hosts.bac удален. Но браузер загружается со стартовой страницей сторонней поисковой системы, а MBAM ругается на utorrent, который обращается на "вредоносные адреса". Прикрепляю логи:
0
Вложения
Тип файла: zip virusinfo_syscure.zip (31.6 Кб, 14 просмотров)
Тип файла: zip virusinfo_syscheck.zip (35.4 Кб, 8 просмотров)
Тип файла: rar log.rar (8.7 Кб, 5 просмотров)
Тип файла: rar info.rar (9.3 Кб, 5 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
27.07.2013, 09:24
Ответы с готовыми решениями:

Вирус. Подмена ярлыков браузера и стартовой страницы
Добрый день, по глупости своей распаковал *.exe архив и начались проблемы. установились якобы...

Подмена стартовой страницы и рекламные баннеры во всех браузерах
Лог прикрепляю

Подмена ярлыков браузеров, стартовой страницы, всплывающая реклама
Здравствуйте. Начну с того, что я чайник, поэтому буду задавать глупые вопросы и, возможно, очень...

Подмена стартовой станицы при загрузке браузера
Добрый день! У меня ноутбук с win 7. При открытии любого браузера стартовая страница...

11
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
27.07.2013, 14:12 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At10.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At11.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At12.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At13.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At14.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At2.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At3.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At4.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At5.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At6.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At7.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At8.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At9.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Подготовьте новые логи AVZ и Rsit.

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
1
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
27.07.2013, 15:16  [ТС] 3
новые логи:
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (32.9 Кб, 3 просмотров)
Тип файла: rar log.rar (8.6 Кб, 3 просмотров)
Тип файла: txt mbam-log-2013-07-27 (21-30-07).txt (2.2 Кб, 2 просмотров)
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
27.07.2013, 16:14 4
Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At10.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At11.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At12.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At13.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At14.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At2.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At3.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At4.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At5.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At6.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At7.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At8.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','32');
 DeleteFile('C:\Windows\system32\Tasks\At9.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Подготовьте новый лог AVZ
1
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
27.07.2013, 16:24  [ТС] 5
новый лог:
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (34.3 Кб, 2 просмотров)
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
27.07.2013, 16:32 6
Опять этот косячный AVZ...
viper72, выполните еще раз исправленный скрипт, а потом сделайте новый лог.

Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','');
 QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','32');
 DeleteFile('C:\Windows\Tasks\At1.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','32');
 DeleteFile('C:\Windows\Tasks\At10.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','32');
 DeleteFile('C:\Windows\Tasks\At11.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','32');
 DeleteFile('C:\Windows\Tasks\At12.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','32');
 DeleteFile('C:\Windows\Tasks\At13.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','32');
 DeleteFile('C:\Windows\Tasks\At14.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','32');
 DeleteFile('C:\Windows\Tasks\At2.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','32');
 DeleteFile('C:\Windows\Tasks\At3.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','32');
 DeleteFile('C:\Windows\Tasks\At4.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','32');
 DeleteFile('C:\Windows\Tasks\At5.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','32');
 DeleteFile('C:\Windows\Tasks\At6.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','32');
 DeleteFile('C:\Windows\Tasks\At7.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','32');
 DeleteFile('C:\Windows\Tasks\At8.job','64');
 DeleteFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','32');
 DeleteFile('C:\Windows\Tasks\At9.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
1
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
27.07.2013, 16:41  [ТС] 7
новый лог:
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (30.7 Кб, 2 просмотров)
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
27.07.2013, 16:44 8
Теперь все чисто. Что с проблемой, решена?
1
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
27.07.2013, 17:04  [ТС] 9
Формально я решил ее отредактировав файл hosts, но хотелось бы удалить и причины возникновения проблемы.. Вроде бы, благодоря Вам хвосты подчистили Спасибо!
Только MBAM продолжает ругаться при попытке открыть интернет страницы на " Была предотвращена попытка доступа к вредоносному веб-сайту (здесь адрес). Тип:исходящий Порт: (разные) Процесс:либо utorrent, либо avastsvc.exe" Ложное срабатывание?
0
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
27.07.2013, 17:09 10
Цитата Сообщение от viper72 Посмотреть сообщение
Ложное срабатывание?
Верно))), очень подозрительная у него эвристика.

Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО
1
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
27.07.2013, 17:19  [ТС] 11
Кликните здесь для просмотра всего текста
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 28.07.2013 00:17:23
Program directory: C:\Users\Asus\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=5.2
Диск C:\ ФС: NTFS Емкость: (119.2 Гб) Занято: (57.5 Гб) Свободно: (61.7 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) HomeBasic Lang: Russian(0419)
Дата установки ОС: 23.01.2012 04:46:00
Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2013-03-24 00:10:42
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.8.0.1489.0
-------------OtherUtilities-----------------------
CCleaner v.3.13
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.7.700.224 Внимание! Скачать обновления
Adobe Reader 8.1.0 - Russian v.8.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.28.0.1500.72
Opera 12.16 v.12.16.1860
Opera 9.5.1
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.16.1860.0

Большое спасибо за оказанную помощь!
0
Вирусоборец
8605 / 4175 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
27.07.2013, 17:23 12
Internet Explorer обновите обязательно, даже если вы им не пользуетесь. Его использует ОС.
Ну и все остальное тоже.
Удачи!
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
27.07.2013, 17:23

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Подмена страницы vk.com
Здравствуйте, возникла следующая проблема по адресу vk.com располагается фейковая страница...

Подмена страницы в vk
Здравствуйте! С такой проблемой я сталкиваюсь впервые, и всех моих скудных познаний не хватило,...

Подмена страницы vk.com
Моя проблема аналогична этой теме: https://www.cyberforum.ru/viruses/thread709805.html После...

Самопроизвольное открытие страниц рекламы в браузере Opera и периодическая подмена домашней страницы
Даже после чистки SpyHunter постоянно происходит самопроизвольное открытие страниц рекламы в...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
12
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.