Дома роутер Asus WL-520gc, к нему подключены четыре компьютера.
На двух компьютерах Win XP, на двух Win 7.
На всех машинах установлен Avast Home со всеми обновлениями.
Первые симптомы вируса - глюки с Java-скриптами на сайтах (не раскрываются Ajax формы и прочее).
Через некоторое время появились pop-up баннеры на сайтах, где их быть не может (Яндекс, вконтакте и т.п.)
Открывается реклама проекта _popunder.ru, при этом подгружается ещё и _bobrilla.com
Полная проверка через Avast результатов не дала (проверка выполнялась фирменная, до загрузки ОС).
Файл hosts чист, трассировки ничего подозрительного не показывают.
Гугление выявляло различные варианты среди которых оказалось заражение роутера. Попытался зайти в панель роутера - не смог, выдавало ошибку пароля. До этого стоял стандартный admin-admin. При наличии выделенного IP адреса - подключение к роутеру извне стало наиболее вероятной причиной проблемы. Сделал хардверный ресет роутера, после чего на всех машинах cmd -> ipconfig /flushdns
Проблема решилась. Пароль на роутер поставил сложный. Через 15 минут - баннеры вновь появились. Перепроверил роутер - в панель заходит без проблем, каких-то специфичных настроек нет.
Вероятно, что после подмены DNS в роутере, какой-то вирус успел сесть в компьютерах и активизировался после излечения роутера.
Утилита AVZ никаких результатов не дала. Кроме файлов антивируса Avast ничего подозрительного на компьютере не обнаруживает. Kaspersky Virus Removal Tool угроз не обнаруживает.
Помогите, пожалуйста.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) fawus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('\\?\globalroot\systemroot\system32\vRmvMpx.exe','');
QuarantineFile('C:\WINDOWS\system32\59f8b090.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\system32\59f8b090.exe');
DeleteFile('\\?\globalroot\systemroot\system32\vRmvMpx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
fawus, С другой машины снимайте логи и все
Если есть желание можно все машины проверить
Так и сделаю, спасибо!
Сообщение от regist
другие. использовать скрипты лечения для машин запрещено правилами, т.к. вы можете нанести вред. Создайте для каждой заражённой машины новую тему.
Понял. Может не стоит отдельными темами, зачем захламлять форум? Сделаю как скажете, но я думаю можно и в этой теме всё сделать. Вирус один и тот же, логи я буду выкладывать просто отдельными сообщениями, подписывая номер компьютера. Карантин повторно, наверное, высылать и не понадобится.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: