Перейти к содержанию

Подозрения на замену dns и взлом роутера (Ростелеком)


Рекомендуемые сообщения

Здравствуйте.
Вся история подробно...
Я разработчик сайтов. Примерно 2 недели назад, на одном из разрабатываемых в данный момент сайтов, заметил появление рекламных баннеров (ссылки на очень известные сайты типа мвидео и т.д.) в самом верху сайта.
В тело сайта встраивался код который вёл к сайтам:
  • p.analytic.host/ad/base.js?id=
  • d.d1tracker.ru/p.gif?ch=r&sid=
Я думал это вирус на сайте. Пытался его выловить и т.д. Проверял на вирусы антивирусом+фаерволом для сайтов virusdie.ru(лицензия).
Заходил на злополучный сайт и с компьютера домашнего и с андроид приставки (которая питается интернетом от одного роутера с моим компьютером).
И с компа домашнего и с андроид приставки этот мой сайт показывал рекламу... У моих знакомых на их домашних компьютерах этот сайт всегда был без рекламы.
Так вот, только вчера я понял, что даже полное удаление этого сайта (который я делал и на котором увидел баннеры), не спасло, на месте страницы об ошибках 404 или 403 (от хостинга стандартная страница), тоже вверху появлялись эти баннеры.
На стороне хостинга всё в норме, я там всех на уши поставил - чисто там.
Итак, я понял, что проблема не на сайте, а у меня в компьютере или роутере, начал искать сегодня на компе вирусы и т.д.
Поставил на ПОЛНУЮ проверку всего компьютера, свой KIS 19(лицензионный), он ничего не нашёл.
Сегодня скачал и проверил весь комп с помощью свежего dr web cureit - чисто.
Установил несколько бесплатных и условно бесплатных программ, а именно (все свежие):
  1. Malwarebytes AdwCleaner
  2. RogueKiller
  3. SpyHunter
Каждая из этих програм находила всякую ерунду (вроде "плохой" программы Adguard и ит.д), но ничего серьёзного.
Так что у меня серьёзные подозрения на то, что происходит подмена DNS серверов и взлом роутера (последняя версия прошивки).
На всякий случай я удалил все браузеры (firefox, хром, opera, yandex). Остались только предустановленные IE 11 и Edge.
Кстати у меня Windows 10 pro x64.
Я сбросил настройки роутера до заводских.
Настроил таким образом, что поменял ip основного шлюза (и админки), прописал там dns гугла (8.8.8.8 и 8.8.4.4).
Теперь роутер по адресу 192.168.34.56 и конечно все пароли сменил.
ФОТО:

xZjTfhx.png


Затем выключил компьютер (чтобы если есть вирус который прослушивает сеть не подслушал следующие действия) и с андроид приставки зашёл в настройки роутера и поменал админский пароль.
Таким образом, компьютер не должен был узнать доступы в админку роутера.
После этого я многократно проверил на андроид приставке тот злополучный сайт и рекламы уже не было.
А вот на компьютере как была реклама на том сайте так и осталась.

Запустил AutoLogger-test (от имени администратора), перед этим отключил касперского и включил всё что обычно запущено (телеграма, вотсап, скайп, gmail notifer(проверка почты), jivosite(онлайн консультант на сайтах), bitrix24, online radio player и Adguard(лицензия)). Все эти программы установлены уже давным-давно.
Кстати в файле windows/system32/drivers/etc/hosts всё нужное (на всякий случай говорю, чтобы исключить подозрения на вирусы).
 
Вот пример того как выглядит рекламный, вирусный баннер

СНИМОК ЭКРАНА:

 

A4wZIb9.png

 

 

CollectionLog-2019.04.05-03.39.zip

Изменено пользователем kostolom_brn
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

O2 - HKLM\..\BHO: YoukuBHO64 - {509DC5B8-F673-4102-B86E-5BF20BF4EE54} - (no file)
O2-32 - HKLM\..\BHO: YoukuBHO - {7DC4B5B6-C122-44C4-825C-B310513A47CB} - (no file)
O9 - Button: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523}: Mail.Ru Агент - (no file)
O9 - Tools menu item: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523}: Mail.Ru Агент - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Pending):  MEGA (Pending) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Synced):  MEGA (Synced) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Syncing):  MEGA (Syncing) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\        .HNShellExt: SimpleShlExt Class - {8972B06B-3F0E-42B3-8F2F-1BE2CC64E751} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   Report64: Report64 Class - {C7D0BD5D-B11A-47DB-BB14-7F930B3F7705} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   YoukuModShlExt64: YoukuModShlExt64 Class - {314711D6-6B45-4AF7-83D8-DCD8537FD241} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay0: (no name) -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay1: (no name) -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay2: (no name) -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Pending):  MEGA (Pending) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Synced):  MEGA (Synced) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Syncing):  MEGA (Syncing) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay0: (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay1: (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay2: (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\awmemb.dll','');
 QuarantineFile('c:\users\user\appdata\local\programs\jivosite\jivosite.exe','');
 QuarantineFile('c:\windows\iccs\iccs.exe','');
 QuarantineFile('c:\program files\clipcache\clipc.exe','');
BC_ImportQuarantineList;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты

Сейчас загружаю карантин через форму а тут прикладываю лог AdwCleaner

 

Загрузил через форму файл карантина, вот его информация

Файл сохранён как: 190405_065210_quarantine_5ca6fb1a52b43.zip

Размер файла: 27550382

MD5: 30d7971c9796366ed96c1bdaf3dcf9d7

AdwCleanerS08.txt

Изменено пользователем kostolom_brn
Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Program Files (x86)\Actual Window Minimizer\ActualWindowMinimizerCenter.exe
    File: C:\Program Files (x86)\Winstep\Nexus.exe
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    File: C:\Windows\OldNewExplorer32.dll
    Toolbar: HKU\S-1-5-21-2151660362-252746209-3675566989-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
    S3 0074371527834034mcinstcleanup; no ImagePath
    2019-04-04 23:27 - 2017-03-28 03:21 - 000486352 ____C (Actual Tools) C:\Users\User\AppData\Local\Temp\awmemb.dll
    2019-04-04 23:27 - 2017-03-28 03:21 - 001648592 ____C (Actual Tools) C:\Users\User\AppData\Local\Temp\awmemb64.dll
    CustomCLSID: HKU\S-1-5-21-2151660362-252746209-3675566989-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2151660362-252746209-3675566989-1000_Classes\CLSID\{5ed339e2-e6a7-576a-be70-fb9cdbdce50e}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2151660362-252746209-3675566989-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2151660362-252746209-3675566989-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> no filepath
    ContextMenuHandlers1: [ContextMenuExt] -> {8972B06B-3F0E-42B3-8F2F-1BE2CC64E751} =>  -> No File
    ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
    ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
    ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
    ContextMenuHandlers3_S-1-5-21-2151660362-252746209-3675566989-1000: [MailRuCloudContextMenu] -> {6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6} =>  -> No File
    Task: {977C9552-A4DA-4D2C-A485-998DABB2C299} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    File: C:\WINDOWS\KMSAuto.exe
    AlternateDataStreams: C:\ProgramData\TEMP:C87DE406 [133]
    AlternateDataStreams: C:\ProgramData\TEMP:D78D6FF7 [310]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:C87DE406 [133]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:D78D6FF7 [310]
    FirewallRules: [{B1A34025-2352-444A-9222-0670ED84D49C}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{D63FEB8A-8A03-4387-8EE1-7BE244D0958A}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe No File
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

  • 7 месяцев спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Недавно раскрытый взлом тысяч домашних маршрутизаторов ASUS показывает, что, кроме вас и ближайших соседей, ваша домашняя точка доступа Wi-Fi нужна еще и обычным киберпреступникам, и даже хакерам на госслужбе, проводящим целевые шпионские атаки. Новая атака, предположительно связанная с печально известной группировкой APT31, продолжается, она опасна своей скрытностью и необычным способом защиты от нее, поэтому важно разобраться, зачем злоумышленникам роутеры и как защищаться от хакерских трюков.
      Как используют взломанные маршрутизаторы
      Домашний прокси. Когда хакеры атакуют крупные компании и госучреждения, атаку часто вычисляют по необычным адресам, с которых идет обращение к защищаемой сети. Подозрительно, когда компания работает в одной стране, а ее сотрудник внезапно входит в корпоративную сеть из другой. Не менее подозрительны обращения с известных адресов VPN-серверов. Чтобы замаскироваться, злоумышленники применяют взломанный роутер в нужной стране и даже нужном городе, рядом с объектом атаки. Они направляют все запросы на роутер, а тот переадресует данные атакуемому компьютеру. При мониторинге это выглядит как обычное обращение сотрудника к рабочим ресурсам из дома, ничего подозрительного. Командный сервер. На взломанном устройстве выкладывают вредоносное ПО, чтобы скачивать его на заражаемые компьютеры. Или, наоборот, выкачивают нужную информацию из атакованной сети прямо на ваш роутер. Ловушка для конкурентов. Роутер могут использовать как приманку, чтобы изучать способы взлома, применяемые другими группировками хакеров. Прибор для майнинга. Любое вычислительное устройство можно применять для майнинга криптовалюты. Использовать для майнинга роутер не очень эффективно, но, когда злоумышленник не платит ни за электричество, ни за технику, ему это все равно выгодно. Инструмент манипуляции вашим трафиком. На роутере можно перехватывать и изменять содержимое интернет-соединений — так злоумышленники могут атаковать все подключенные к домашней сети устройства. Спектр применения этой техники, — от кражи паролей до внедрения рекламы в веб-страницы. Бот для DDoS-атак. Любые домашние устройства, включая роутеры, видеоняни, умные колонки и даже чайники, можно объединить в сеть ботов и «положить» любой онлайн-сервис миллионами одновременных запросов с этих устройств. Эти варианты будут полезны разным группам злоумышленников. Если майнинг, реклама и DDoS чаще интересны киберпреступникам с финансовой мотивацией, то целевые атаки под прикрытием домашнего IP-адреса проводят либо банды вымогателей, либо группировки, занимающиеся настоящим шпионажем. Звучит как детектив, но распространено настолько широко, что об этом в разное время выпустили несколько предупреждений Американское агентство по безопасности инфраструктуры (CISA) и ФБР. Шпионы, как им и положено, действуют предельно незаметно, поэтому владельцы роутера замечают его «двойное назначение» крайне редко.
       
      View the full article
    • Максим Субботин
      Автор Максим Субботин
      Позвонила девушка из маркетинга компании Ростелеком, предложила прислать смс на подключение ознакомительной версии Антивируса Касперский. Я вежливо отказался. Следом пришла смс с предложением зайти на сайт, согласиться с условиями подключения сервиса и получить ключ на подключение антивируса. Я не стал заходить на сайт, соглашаться с получением сервиса и получать ключ на подключение антивируса. Через некоторое время услуга Антивирус Касперского появился в списке услуг в личном кабинете, и пришел счет на его оплату. Удалить услугу из личного кабинета удалось только по звонку в службу продержки Ростелеком. Похоже, что таких как я очень много, так как в голосовом помощнике Ростелеком (8-800-707-12-12) даже предусмотрена отдельная цифра для отключения Антивируса Касперского ("для отключения АК нажмите цифру 5").
      Интересно, в компании Касперский знают, каким способом распространяется их продукт (сам по себе достаточно неплохой), и какой репутационный ущерб наносят сотрудники компании Ростелеком таким распространением компании Лаборатория Касперского.
       
       
    • FMEKLW
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...