2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
|
|
1 | |
Подмена файла hosts, подмена стартовой страницы, обращение utorrent к подозрительным адресам27.07.2013, 09:24. Просмотров 5107. Ответов 11
Метки нет Все метки)
(
Добрый день! Попал в руки ноутбук со следующей проблемой: браузер не открывал доступ к сайтам и поисковым системам, сообщая о использовании нелегального ПО и предлагая снять блокировку с помощью оплаты по СМС. В автозагрузке нашел строки о загрузке и модификации hosts файла. Проверив сам файл, обнаружил, что он изменен добавлением к нему строк с адресами ведущими на сторонние сайты. В папке с файлом был также найден файл hosts.bac на который стал ругаться установленный Avast! Что бы получить доступ к этому сайту, через LiveCD hosts был отредактирован, а hosts.bac удален. Но браузер загружается со стартовой страницей сторонней поисковой системы, а MBAM ругается на utorrent, который обращается на "вредоносные адреса". Прикрепляю логи:
0
|
|
27.07.2013, 09:24 | |
Вирус. Подмена ярлыков браузера и стартовой страницы Подмена стартовой страницы и рекламные баннеры во всех браузерах Подмена ярлыков браузеров, стартовой страницы, всплывающая реклама Подмена стартовой станицы при загрузке браузера |
|
![]() 8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
|
|
27.07.2013, 14:12 | 2 |
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. 1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить. Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh',''); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At10.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At11.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At12.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At13.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At14.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At2.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At3.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At4.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At5.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At6.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At7.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At8.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At9.job','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. 2. После перезагрузки, выполните такой скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 4. Подготовьте новые логи AVZ и Rsit. 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте!
1
|
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
|
|
27.07.2013, 15:16 [ТС] | 3 |
новые логи:
0
|
![]() 8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
|
|
27.07.2013, 16:14 | 4 |
Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\mgrldr.dll','32'); DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\x64\mgrldr.dll','32'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At10.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At11.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At12.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At13.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At14.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At2.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At3.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At4.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At5.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At6.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At7.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At8.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','32'); DeleteFile('C:\Windows\system32\Tasks\At9.job','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
1
|
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
|
|
27.07.2013, 16:24 [ТС] | 5 |
новый лог:
0
|
![]() 8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
|
|
27.07.2013, 16:32 | 6 |
Опять этот косячный AVZ...
![]() viper72, выполните еще раз исправленный скрипт, а потом сделайте новый лог. Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh',''); QuarantineFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh',''); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1289239FdOh','32'); DeleteFile('C:\Windows\Tasks\At1.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\286215FdOh','32'); DeleteFile('C:\Windows\Tasks\At10.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\4656177FdOh','32'); DeleteFile('C:\Windows\Tasks\At11.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1734153FdOh','32'); DeleteFile('C:\Windows\Tasks\At12.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\997439FdOh','32'); DeleteFile('C:\Windows\Tasks\At13.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\2857860FdOh','32'); DeleteFile('C:\Windows\Tasks\At14.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\254531FdOh','32'); DeleteFile('C:\Windows\Tasks\At2.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\366430FdOh','32'); DeleteFile('C:\Windows\Tasks\At3.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1004053FdOh','32'); DeleteFile('C:\Windows\Tasks\At4.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\297556FdOh','32'); DeleteFile('C:\Windows\Tasks\At5.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\1992413FdOh','32'); DeleteFile('C:\Windows\Tasks\At6.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\305917FdOh','32'); DeleteFile('C:\Windows\Tasks\At7.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\6982963FdOh','32'); DeleteFile('C:\Windows\Tasks\At8.job','64'); DeleteFile('C:\Users\Asus\AppData\Local\Temp\358334FdOh','32'); DeleteFile('C:\Windows\Tasks\At9.job','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
1
|
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
|
|
27.07.2013, 16:41 [ТС] | 7 |
![]()
0
|
![]() 8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
|
|
27.07.2013, 16:44 | 8 |
Теперь все чисто. Что с проблемой, решена?
1
|
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
|
|
27.07.2013, 17:04 [ТС] | 9 |
Формально я решил ее отредактировав файл hosts, но хотелось бы удалить и причины возникновения проблемы.. Вроде бы, благодоря Вам хвосты подчистили
![]() Только MBAM продолжает ругаться при попытке открыть интернет страницы на " Была предотвращена попытка доступа к вредоносному веб-сайту (здесь адрес). Тип:исходящий Порт: (разные) Процесс:либо utorrent, либо avastsvc.exe" Ложное срабатывание?
0
|
![]() 8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
|
|
27.07.2013, 17:09 | 10 |
Верно))), очень подозрительная у него эвристика.
Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО
1
|
2 / 2 / 0
Регистрация: 17.07.2013
Сообщений: 28
|
|
27.07.2013, 17:19 [ТС] | 11 |
Кликните здесь для просмотра всего текста
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc DataLog 28.07.2013 00:17:23 Program directory: C:\Users\Asus\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False XML File - VersionInet=5.2 Диск C:\ ФС: NTFS Емкость: (119.2 Гб) Занято: (57.5 Гб) Свободно: (61.7 Гб) __________________________________________________ WIN_7(6.1) Build 7601 (x64) HomeBasic Lang: Russian(0419) Дата установки ОС: 23.01.2012 04:46:00 Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления -------------Windows------------------------------ Контроль учётных записей пользователя включен Автоматическое обновление отключено Дата установки обновлений: 2013-03-24 00:10:42 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ avast! Antivirus Антивирус обновлен -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- avast! Antivirus Windows Defender -------------AntiVirusFirewallInstall------------- avast! Free Antivirus v.8.0.1489.0 -------------OtherUtilities----------------------- CCleaner v.3.13 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.7.700.224 Внимание! Скачать обновления Adobe Reader 8.1.0 - Russian v.8.1.0 Внимание! Скачать обновления -------------Browser------------------------------ Google Chrome v.28.0.1500.72 Opera 12.16 v.12.16.1860 Opera 9.5.1 -------------RunningProcess----------------------- C:\Program Files (x86)\Opera\opera.exe v.12.16.1860.0 Большое спасибо за оказанную помощь!
0
|
![]() 8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
|
|
27.07.2013, 17:23 | 12 |
Internet Explorer обновите обязательно, даже если вы им не пользуетесь. Его использует ОС.
Ну и все остальное тоже. Удачи!
1
|
27.07.2013, 17:23 | |
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь. Подмена страницы vk.com Подмена страницы в vk Подмена страницы vk.com Самопроизвольное открытие страниц рекламы в браузере Opera и периодическая подмена домашней страницы Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |