Вирус с блокировкой соц сетей

Тема в разделе "Вирусы и другие вредоносные программы", создана пользователем georg, 14 дек 2012.

  1. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
    В очередной раз касперский пропустил троянца. Вирус сделал подмену соц. сетей с переадресацией на левые сайты.

    Зашел vk.com. и odnoklassniki.ru с ноута, страницы были заблокированны с пометкой что с вашего аккаунта идет спам. Восстановил себе доступ.

    Host файл до и после лечения был чист. Dr.web на компе нашел заразу и поборол её. Но переадресация на левые сайты так и осталась. Файл host и пути к нему в реестре целы, но для редактирования host файла недостаточно прав , хотя права все есть, сижу их под админа. Спустя пару часов зашел с компа на соц сети и думал что пронесло, но не тут то было
    .


    vk.com(настоящий):


    Гугл говорит что дело в host файле , но там все чисто и пути в реетре правильные. Help:unknw:, систему из образа восстанавливать не хотелось бы
     
  2. LeitoP2K Активный участник

    Регистрация:
    9 янв 2012
    Сообщения:
    326
    Симпатии:
    25
    Провайдер:
    Спарк
    Нет! Это модеры вконтакте уже! Придется ждать положенного времени, заходить и менять пароли
     
  3. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
    Так забанили и во второй раз, а вируса уже давно нет, пароль надежен и первый и второй. Куки зло:aggressive:
     
  4. LeitoP2K Активный участник

    Регистрация:
    9 янв 2012
    Сообщения:
    326
    Симпатии:
    25
    Провайдер:
    Спарк
    зачисть все
     
  5. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Что-то подозрительное сообщение от "настоящего" vk.com. Переадресация всё ещё работает? На каких-то других сайтах есть что-либо подобное или только на соц. сетях? Пробовал заходить из-под разных браузеров? С мобильника? Везде одно и то же? Кинь хотя бы логи от HijackThis, а лучше сразу от AVZ
     
  6. undead Участник

    Регистрация:
    16 июн 2011
    Сообщения:
    149
    Симпатии:
    15
    Провайдер:
    Спарк
    Была подобная фигня. ПРоверь днс сервера, у меня на компе(что то переписало их вручную), переставил на автоматическое получение все стало нормально
     
  7. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
    сообщение на vk.com было настоящим, сейчас после смены очередного пароля впустили, на других сайтах подобного не наблюдаю, пробовал из под оперы, ie9, хрома, одно и тоже было(до настоящего бана на vk.com) Посмотреть нет ли записей dns серверов ума не хватило, но странно что проблема решилась сама по себе. Понаблюдаю как будут обстоять дела дальше .

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 0:12:16, on 16.12.2012
    Platform: Windows 7 SP1 (WinNT 6.00.3505)
    MSIE: Internet Explorer v9.00 (9.00.8112.16457)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Unlocker\UnlockerAssistant.exe
    C:\Program Files\DrWeb\spideragent.exe
    C:\Windows\System32\Ctxfihlp.exe
    C:\Program Files\uTorrent\uTorrent.exe
    C:\Program Files\DAEMON Tools Lite\DTLite.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe
    C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
    C:\Program Files\BeholdTV\Agent\BhAgent.exe
    C:\Windows\SYSTEM32\CTXFISPI.EXE
    C:\Program Files\Opera\opera.exe
    C:\Users\georg\AppData\Local\Opera\Opera\temporary_downloads\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Mail.Ru: почта, поиск в интернете, новости, игры, развлечения
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Россия: новости, почта Hotmail, Messenger, фото, видео, знаменитости, знакомства
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Россия: новости, почта Hotmail, Messenger, фото, видео, знаменитости, знакомства
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
    O2 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5loc.dll
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
    O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\spideragent.exe"
    O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
    O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKCU\..\Run: [MAgent] C:\Users\georg\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
    O4 - HKCU\..\Run: [KSS] "C:\Program Files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" /autorun
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-2042677364-1593992574-1316330847-1003\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
    O4 - HKUS\S-1-5-21-2042677364-1593992574-1316330847-1003\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
    O4 - Startup: BhAgent.lnk = C:\Program Files\BeholdTV\Agent\BhAgent.exe
    O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
    O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
    O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm
    O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\georg\AppData\Roaming\Mail.Ru\Agent\magent.exe (HKCU)
    O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\georg\AppData\Roaming\Mail.Ru\Agent\magent.exe (HKCU)
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll
    O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DBFBCC77-80F8-4F5F-BFA8-DF2CF065B07C}: NameServer = 91.203.64.2 8.8.8.8
    O17 - HKLM\System\CS1\Services\Tcpip\..\{DBFBCC77-80F8-4F5F-BFA8-DF2CF065B07C}: NameServer = 91.203.64.2 8.8.8.8
    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
    O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
    O23 - Service: DokanMounter - Unknown owner - C:\Program Files\Dokan\DokanLibrary\mounter.exe
    O23 - Service: Dr.Web Control Service (DrWebAVService) - Doctor Web, Ltd. - C:\Program Files\DrWeb\dwservice.exe
    O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
    O23 - Service: Dr.Web Net Filtering Service (DrWebNetFilter) - Doctor Web, Ltd. - C:\Program Files\DrWeb\dwnetfilter.exe
    O23 - Service: Kaspersky Security Scan Service (KSS) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
    O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Users\georg\temp\TeamViewer\Version7\TeamViewer_Service.exe
    O23 - Service: TeamViewer 8 (TeamViewer8) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe

    --
     
  8. Espantorio Активный участник

    Регистрация:
    3 окт 2009
    Сообщения:
    188
    Симпатии:
    74
    Провайдер:
    Энлинк
    Похожая шляпа, думаю что поймал вирус. Антивирь стоит MSE. Теперь на соцсети захожу через поисковую систему: Яндекс>вк>моя страница. Таким странным образом заходит. Да и вообще, вроде как проблема решилась сама собой.

    P.S. Успел переустановить ОС.
     
  9. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Вот и ответ на все вопросы. Пофиксить срочно! (Но на всякий случай сначала проверить этот файл на virustotal.) Если не получится через Hijack, то понадобится AVZ. И после этого еще раз сменить пароли. Продолжаю подозревать, что vk был не настоящий.

    Хотя не в этом дело, похоже. Пишут, что эта библиотека нормальная. Но как-то подозрительно.
     
  10. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
    Гугл говрит что это процесс программы для блокировки рекламы "Adguard", пользуюсь ей уже более года, так что врядли.
     
  11. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Да, я поэтому тоже засомневался. Ещё такая же библиотека вроде есть у IIS. HijackThis написан очень давно. Теперь, конечно, он не про всё знает :)
     
  12. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    AVZ уже морально устарел, к сожалению. На Win7 он практически бесполезен.
    ИМХО восстановление предыдущего состояния. Если подходящих точек восстановления нет - начисто переставлять и настраивать сразу теневое копирование на всех дисках и восстановление системы. Хлеба не просит, но метод более чем удачно реализован в Win7.
     
  13. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    У меня нет точек восстановления. Я эту возможность отключаю сразу после установки системы вместе с индексированием. Я ни разу у себя не переустанавливал систему последние лет десять. Все проблемы решал без этого. Из инструментов использовались только ERD Commander и AVZ. Чем он "морально устарел" я не понимаю. С какими задачами он не справляется? Практически ежедневно решаю чужие проблемы, используя только его на любых системах от XP до W8.
     
  14. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    Grand Father, ну допустим восстановление загрузки. Ни разу на 7 не получилось при помощи AVZ. С установочного диска microsoft без проблем.
     
  15. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Что такое "восстановление загрузки". Речь о MBR? Или об ошибках при старте системы? А что делал в AVZ для этого?
     
  16. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    Ошибки при старте... В AVZ галочка "Восстановление загрузки". В ХР работало на ура.
     
  17. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    "Восстановление настроек загрузки в SafeMode"? При чём тут ошибки при старте? Да и вряд ли что изменилось в самой технологии. Для каждой системы, будь то XP или семёрка, имеется свой reg файл с чистой машины, в котором хранится копия ветки реестра, отвечающей за безопасный режим. Так что этот пункт должен работать независимо от версии операционной системы. Не хочу разводить дискуссию по этому поводу, но для "морально устарел" и "абсолютно бесполезен" нужны более веские аргументы.
     
  18. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
    Итак с сегодняшнего утра опять подмена соц сетей, на ноуте страницы сетей доступны. Сделал лог через avz , нашел в нете похожую ситуацию.
    помог скрипт
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('newdriver', 4);
    StopService('newdriver');
    QuarantineFile('C:\Windows\system32\dGqWabLpRSDYHE.exe','');
    QuarantineFile('C:\Windows\gigalan.sys','');
    DeleteFile('C:\Windows\gigalan.sys');
    DeleteFile('C:\Windows\system32\dGqWabLpRSDYHE.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SjFIqurvhJjOOMUSQMtKlrtEHJ');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Windows\explorer.exe');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    DeleteService('newdriver');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('newdriver');
    BC_DeleteFile('C:\Windows\gigalan.sys');
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
  19. Vadim62 Активный участник

    Регистрация:
    14 окт 2011
    Сообщения:
    703
    Симпатии:
    192
    Провайдер:
    Энлинк
    Только что была подобная проблема, помог лишь вышеуказанный способ. Чисто визуально можно отличить по низкой скорости интернет-соединения и гигантскому пингу.
     
    Джин Грин нравится это.
  20. undead Участник

    Регистрация:
    16 июн 2011
    Сообщения:
    149
    Симпатии:
    15
    Провайдер:
    Спарк
    Сегодня при запуске вк стало появляться след окно. Кто что думает по этому поводу?(спам вк или что то подхватил) Вирусы проверял, днс родные.

    на http://images.62live.ru/ залить не получается "Невозможно найти удалённый сервер"
     

    Вложения:

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)