Переброс на фишинговый контакт [LOG+]

[Elly]

У подруги комп был без антивируса, как результат подцепила кучу всего. Блокируются все АВ сайты + с майл,гугла,яндекса, рамблера, контакта перекидывает на фишинговый контакт с объявлением "отошлите смс" и т.д.

LOG.rar

[SLASH_id]

Сталкивались.... Не смотря логи... Хостс был чем-то поправлен.

[ika-ilya]

Через любой браузер перекидывает или используя стандартный IE?

 

Были похожее случае у знакомых(использовали браузер IE 7), вылечивал удалением ветки в реестре + отключением поднастройки в IE 7 + правкой Hosts.

 

Судя по логу, да подправили Hosts:

 

213.182.197.43 www.vkontakte.ru 
213.182.197.43 vkontakte.ru 
213.182.197.43 odnoklassniki.ru 
213.182.197.43 www.odnoklassniki.ru 
213.182.197.43 odnoklassniki.ua 
213.182.197.43 www.odnoklassniki.ru 
213.182.197.43 www.mail.ru 
213.182.197.43 mail.ru 
213.182.197.43 www.gmail.com 
213.182.197.43 gmail.com 
213.182.197.43 www.google.com 
213.182.197.43 google.com 
213.182.197.43 www.i.ua 
213.182.197.43 i.ua 
213.182.197.43 www.bigmir.net
213.182.197.43 bigmir.net 
213.182.197.43 www.ya.ru
213.182.197.43 ya.ru 
213.182.197.43 www.yandex.ru 
213.182.197.43 yandex.ru 
213.182.197.43 www.rambler.ru 
213.182.197.43 rambler.ru

 

поэтому и перекидывает + ещё на диске "С" авторан засел.

Изменено 21 июня, 2009 пользователем ika-ilya

[vasdas]

Сталкивались.... Не смотря логи... Хостс был чем-то поправлен.

Да-да... только вчера у клиента исправял, какая-то прога из контактов прописала кучу всего в hosts...

для начала стоит проверить в С:\Windows\system32\drivers\etc\hosts там длжно быть только: 127.0.0.1 localhost и почистить куки браузера и кэш...

Да, посмотреть автозагрузку, там еще bat. -сидел.

Изменено 21 июня, 2009 пользователем vasdas

[Elly]

SLASH_id

я в курсе, но мне заниматься её машиной некогда, я просто перекину ей скрипт.

[Falcon]

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');	 
QuarantineFile('C:\WINDOWS\system32\nttest.sys','');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteRepair(13);								   
ExecuteSysClean;								   
BC_Activate;
RebootWindows(true);
end.

Потом:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправь quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщить.

 

Пофиксить:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

Потом такой скрипт:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

И новые логи.

 

 

1) Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.