Позавчера один из сотрудников нашей компании "поймал" винлокера. С винлокером я легко разобрался с помощью диска восстановления KAV, но позже обнаружилось еще одно неприятное последствие вирусной атаки - на всех компьютерах в сети вместо некоторых сайтов стали открываться рекламные и фишинговые странички. В частности сейчас никто не может попасть на kontur.ru (контур-Экстерн), так же заметил что реклама начинает лезть при просмотре сайтов производителей антивирусной продукции (Касперский, Доктор Веб, Трендмикро). При этом проверка всей сети TrendMicro Officr Scan 10.6 SP1 с последними базами ничего не дала - угроз 0. То же самое показали бесплатные утилиты вроде CureIT! и Kaspersky Virus remove tool, AVZ - угроз не обнаружено. Сканеры уязвимости из комплекта КIS 2013 так же ничего не показали.
Проверил hosts - никаких "лишних" записей. Удалил кэш IE, а так же сбросил все его данные и настройки к дефолтовым.
Даже выполнял команду route -F - ничего не помпогло - реклама продолжает лезть со всех щелей при интернет серфенге.
Правда AVZ пожаловался на наличие перехватчика в библиотеке winnet.dll - после выполнения скрипта "Удаление руткитов...." сайты начинают открываются нормально... Но только в течении первых 10, потом опять эти же функции прописываются в эту же библиотеку.
Так же через режим отладки веб-страниц если запретить выполнение JavaScript, то реклама так же перестает появляется, но вмести с тем перестают нормально функцианировать и целевые сайты. Помогите вычислить зловреда и/или его остатки...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Михаил Величко, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Интернет раздается через роутер или отдельно стоящий компьютер ?
Роутер подключен к прозрачному прокси на linux (squid) (192.168.0.1). В сети так же используется DNS сервер (192.168.0.9). Подключение роутера/модема напрямую (минуя прокси и без использования внутреннего DNS) проблему с подменой сайтов не решает....
Настройки роутера, на предмет лишних DNS проверяли ?
Только что проверил. Для надежности даже сбросил настройки к заводским. DNS выставлено автоопределение. Определяются автоматом стандартные DNS провайдера. Ничего лишнего. Реклама продолжает подменять сайты.
Вот образ как вы и просили. Так же заметил что эта программа ругается на КриптоПро и Контур (отчетность). Для чистоты эксперимента в новой теме выложу лог с компьютера, который не имеет к Контуру никакого отношения
Кеш на прокси прочистите, если это уже не сделали.
Вычистил и персоздал кэш SQUID'а. Или имелось ввиду кэш прокси в Windows на клиентском компьютере? В таком случае поясните, пожалуйста, как это сделать?
Сообщение от mrak74
+
Библиотека СКБ Контур в BHO Internet explorer осталась....
Во всех браузерах проблема ?
Да во всех, на всех компьютерах, даже на тех, где СКБ Контур и/или КриптоПро никогда не стояли.
- - - Добавлено - - -
Очистка кэша SQUID'а не помогла - подмены сайтов продолжаются
ADSL модем в режиме роутера подключен к прозрачному прокси поднятому на linux. От последней машины трафик заворачивается на всю сеть. Так же в сети поднят домен и DNS на Win2003.
P.S. На днях прищлось подключать "чистую" машину в сеть и к домену - машина осталась чистой. Так что сдается мне зловред выгнан, но он успел где-то прописать ссылки на свои "незловредные" скрипты и/или подменить библиотеки windows. Так что выходит ситуация излечивается переустановкой Windows и format C:
Но случай заражения не единичный, так что такой вариант меня мягко говоря не устраивает. Хотелось бы найти "хвосты" и понять как их вычистить.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: