• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте, чтобы узнать больше. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Подмена страниц в социальных сетях и mail`е

  • Автор темы Автор темы Anderson
  • Дата начала Дата начала
A

Anderson

Новые
Регистрация
5 Май 2013
Сообщения
20
Реакции
0
Баллы
0
Подмена страниц в социальных сетях и mail`е

Здравствуйте. У меня возникла проблема, которая, судя по тому, что я нашел в гугле, часто возникает у многих в последнее время. А именно - подмена реальных страниц на сайтах vk.com и mail.ru на мошеннические. Судя по тому, что я узнал, такая ситуация возникает в следующих случаях:

1. Подмена файла hosts (проверил, на всякий случай удалил и сделал заново файл hosts, то есть дело не в нем);
2. Подмена пути к hosts в регистре (проверил, это не так)
3. Изменение в худшую сторону файла rpcss.dll (проверил, цифровая подпись в нем оказалась виндовская, антивирусы на него не ругаются, видимо, с ним все нормально)
4. Наконец, последний, который я нашел, вариант - это троян в папке C:\ProgramData\Mozilla (проверил с помощью утилиты от Dr. Web, пишет, что правда троян, судя по всему, оттуда все беды).

Прошу вашей помощи, скрипта или чего-нибудь ещё, чтобы убить этого гада :)

Прилагаю лог uVS.

Немного данных: Windows 7 Ultimate 64 bit SP 3
Pentium Dual-Core CPU T4500 2.30GHz, 4.0 GB RAM, NVIDIA Geforce GT 240M
 

Вложения

причина здесь - загружаемый через Appinit_dlls троян

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код: 
;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ИГОРЬ\5769043.EXE
addsgn A3DFB7A2504E75731BA18F3C68EC435575E29CE289EA4F2843C6E18551C670B3363BE3572E05625C0FA0848F75D609A3BFD3E87255DAB02C2D77A42FC7062273 64 Trojan.Mods.1 [DrWeb]
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BDNBCLJ.DLL
delref %SystemDrive%\PROGRAMDATA\MOZILLA\BDNBCLJ.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
delref %SystemDrive%\PROGRAM FILES (X86)\SKYPE\\PHONE\SKYPE.EXE
czoo
restart
перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes



http://www.tehnari.ru/f150/t81927/
 
Файл вредоносный в папке C:\ProgramData\Mozilla не удалился. Так и должно быть?
 
Я его удалил с помощью CureIT, вроде бы в соц сеть и мэйл стало нормально заходить. Жду, что ещё скажете сделать, в любом случае, спасибо вам огроменное за то, что вы помогаете людям, уважаемый safety!
 
Anderson написал(а):
Файл вредоносный в папке C:\ProgramData\Mozilla не удалился. Так и должно быть?
Нажмите для раскрытия...
Я его не удалял скриптом, только исключил из автозапуска. После перезагрузки он уже не загрузится в память и соответственно безопасен. (а в активном состоянии удаление в uVS его чревато BSOD).

далее, можно дополнительно сделать быструю проверку в малваребайт

http://www.tehnari.ru/f150/t81927/

добавлю, что еще один вариант блокирования vk - это подмена DNS на левые айпишники. (надо смотреть в настройках сетевых подключений, и проверять через сервис whois).
 
Проверка в малваребайт сказала, что всё чисто. Спасибо вам!
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху