Переодически при нажатии на любую ссылку на любом сайте открывает my-eromir.net.
Заметил, что по ссылкам в поисковике Яндекс - постоянно первый клик попадаю на эромир.
А в Гугле - все нормально.
В автозапуске был прописан "cmd.exe" который мне копировал hosts ведущий на фишинговые сайты. Его я удалил и хостс почистил. А вот эромир остался.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) mig32, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
После очистки кеша в Google Crome больше еромир не вылазит. А вот в Internet Explorer, которым и пользуемся проблема осталась. Чистил кеш как через "свойства обозревателя-> удалить временные файлы". Так и просто удалил все содержимое папки ../users/MyUser/appdata/local/temp.
Так же проверил комп tdsskiller ом, он так же ничего не нашел.
В общем проблема осталась. Есть ли еще идеи по лечению?
Сделал логи. Проблема осталась. Файл хостс менял в ручную, чтоб всякая порнуха на экране не появлялась.
- - - Добавлено - - -
Во время работы РСИТ шла проверка компа антивирусом MCAfee.
Если надо могу переделать логи после проверки.
Кстати он уже 2 угрозы обнаружил, какие - пока не показывает.
Предыдущее сообщение ушло на модерацию... Еще разок на всяк случай
їтАџ»¤\CЎ-Ц±З*/KF r <
s а!Ь _ c m d . e x e ] / c c o p y C : \ U s e r s \ 1 2 3 4 5 \ A p p D a t a \ L o c a l \ T e m p \ 6 5 8 4 8 6 4 a q C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y A8AB5<0 !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Ь Hлѓ Чй»FErz5/K*RtвЎ¬µОµ‰ЦЛ•q*фъr<Pn¶й>sыWйшћф3ўЕя€е—і2:„Ф$
Файл C:\Users\12345\AppData\Local\Temp\6584864aq
удален еще в прошлую пятницу.
У меня в реестре в Run точно такая же команда была "cmd /c copy..."
В том файле однокласники/вконтакте/мейл и тп перенаправлялись на, видимо, фишинговые сайты.
Комбофикс запустил - делается...
Еще меня смутили в логах РСИТ info.txt в журнале событий, события с именем компьютера "WIN-T2V7M9JS062" так как у меня имя "12345-TOSH". Или это нормально?
- - - Добавлено - - -
Логи Combofix
- - - Добавлено - - -
Проблема остается
- - - Добавлено - - -
В Хроме все норм вроде. Может какие-то настройки Iexplorer прописаны?
Нашел еще одну закономерность. Если я делаю так:
Захожу в iexplore - свойства обозревателя - безопасность
там для зоны "интернет" нажимаю "другой" и ставлю параметр сценарии/активные сценарии - отключить
то пере адресация на эромир прекращается.
Отсюда сделал вывод, что это работает какой-то активный сценарий? Как его отловить можно и убить?
- - - Добавлено - - -
После сброса всех параметров Эксплорера (свойства обозревателя - дополнительно - сброс) переадресация прекратилась.
Будем считать комп здоровым =)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: