Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Реклама вместо сайтов в браузерах (заявка № 130976)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41

    Реклама вместо сайтов в браузерах

    Позавчера один из сотрудников нашей компании "поймал" винлокера. С винлокером я легко разобрался с помощью диска восстановления KAV, но позже обнаружилось еще одно неприятное последствие вирусной атаки - на всех компьютерах в сети вместо некоторых сайтов стали открываться рекламные и фишинговые странички. В частности сейчас никто не может попасть на kontur.ru (контур-Экстерн), так же заметил что реклама начинает лезть при просмотре сайтов производителей антивирусной продукции (Касперский, Доктор Веб, Трендмикро). При этом проверка всей сети TrendMicro Officr Scan 10.6 SP1 с последними базами ничего не дала - угроз 0. То же самое показали бесплатные утилиты вроде CureIT! и Kaspersky Virus remove tool, AVZ - угроз не обнаружено. Сканеры уязвимости из комплекта КIS 2013 так же ничего не показали.
    Проверил hosts - никаких "лишних" записей. Удалил кэш IE, а так же сбросил все его данные и настройки к дефолтовым.
    Даже выполнял команду route -F - ничего не помпогло - реклама продолжает лезть со всех щелей при интернет серфенге.
    Правда AVZ пожаловался на наличие перехватчика в библиотеке winnet.dll - после выполнения скрипта "Удаление руткитов...." сайты начинают открываются нормально... Но только в течении первых 10, потом опять эти же функции прописываются в эту же библиотеку.
    Так же через режим отладки веб-страниц если запретить выполнение JavaScript, то реклама так же перестает появляется, но вмести с тем перестают нормально функцианировать и целевые сайты. Помогите вычислить зловреда и/или его остатки...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Михаил Величко, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Вот, пожалуйста, логи rsit.
    Вложения Вложения

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Интернет раздается через роутер или отдельно стоящий компьютер ?

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Интернет раздается через роутер или отдельно стоящий компьютер ?
    Роутер подключен к прозрачному прокси на linux (squid) (192.168.0.1). В сети так же используется DNS сервер (192.168.0.9). Подключение роутера/модема напрямую (минуя прокси и без использования внутреннего DNS) проблему с подменой сайтов не решает....

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Настройки роутера, на предмет лишних DNS проверяли ?

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Настройки роутера, на предмет лишних DNS проверяли ?
    Только что проверил. Для надежности даже сбросил настройки к заводским. DNS выставлено автоопределение. Определяются автоматом стандартные DNS провайдера. Ничего лишнего. Реклама продолжает подменять сайты.

  10. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    http://virusinfo.info/showthread.php?t=122524 такой лог сделайте.

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от mrak74 Посмотреть сообщение
    http://virusinfo.info/showthread.php?t=122524 такой лог сделайте.
    Вот пожалуйста. Только сразу замечу строки
    Код:
    127.0.0.1 fair.hpexstreamteam.com
    127.0.0.1 raco.guyfun69.com
    В hosts файле добавил я, для того чтобы нейтрализовать вредный код.
    Вложения Вложения

  12. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    http://virusinfo.info/showthread.php?t=121767 такой лог, приложите к теме + создайте еще одну тему с компьютером на котором аналогичная проблема.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Кеш на прокси прочистите, если это уже не сделали.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. Это понравилось:


  15. #13
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от mrak74 Посмотреть сообщение
    http://virusinfo.info/showthread.php?t=121767 такой лог, приложите к теме + создайте еще одну тему с компьютером на котором аналогичная проблема.
    Вот образ как вы и просили. Так же заметил что эта программа ругается на КриптоПро и Контур (отчетность). Для чистоты эксперимента в новой теме выложу лог с компьютера, который не имеет к Контуру никакого отношения
    Вложения Вложения

  16. #14
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    В частности сейчас никто не может попасть на kontur.ru (контур-Экстерн)
    +
    Удалил кэш IE, а так же сбросил все его данные и настройки к дефолтовым.
    Библиотека СКБ Контур в BHO Internet explorer осталась....

    Во всех браузерах проблема ?

  17. #15
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от PavelA Посмотреть сообщение
    Кеш на прокси прочистите, если это уже не сделали.
    Вычистил и персоздал кэш SQUID'а. Или имелось ввиду кэш прокси в Windows на клиентском компьютере? В таком случае поясните, пожалуйста, как это сделать?
    Цитата Сообщение от mrak74 Посмотреть сообщение
    +

    Библиотека СКБ Контур в BHO Internet explorer осталась....

    Во всех браузерах проблема ?
    Да во всех, на всех компьютерах, даже на тех, где СКБ Контур и/или КриптоПро никогда не стояли.

    - - - Добавлено - - -

    Очистка кэша SQUID'а не помогла - подмены сайтов продолжаются

  18. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Михаил Величко Посмотреть сообщение
    - подмены сайтов продолжаются
    На всех компьютерах сети? Или только на отдельно взятом.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #17
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от PavelA Посмотреть сообщение
    На всех компьютерах сети? Или только на отдельно взятом.
    На всех

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Еще раз внятно топологию сети. Как ходит трафик?


  21. #19
    Junior Member (OID) Репутация
    Регистрация
    25.01.2013
    Сообщений
    13
    Вес репутации
    41
    Цитата Сообщение от Techno Посмотреть сообщение
    Еще раз внятно топологию сети. Как ходит трафик?
    ADSL модем в режиме роутера подключен к прозрачному прокси поднятому на linux. От последней машины трафик заворачивается на всю сеть. Так же в сети поднят домен и DNS на Win2003.

    P.S. На днях прищлось подключать "чистую" машину в сеть и к домену - машина осталась чистой. Так что сдается мне зловред выгнан, но он успел где-то прописать ссылки на свои "незловредные" скрипты и/или подменить библиотеки windows. Так что выходит ситуация излечивается переустановкой Windows и format C:
    Но случай заражения не единичный, так что такой вариант меня мягко говоря не устраивает. Хотелось бы найти "хвосты" и понять как их вычистить.

  22. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Михаил Величко Посмотреть сообщение
    Так же в сети поднят домен и DNS на Win2003.
    В новую тему логи с него.

    - - - Добавлено - - -

    - Очистите кеш и куки браузеров


  • Уважаемый(ая) Михаил Величко, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Непрошенная реклама в браузерах.
      От Stock в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.01.2013, 01:46
    2. появляется реклама в браузерах
      От shiber в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 14.01.2013, 12:06
    3. Реклама в браузерах и перенаправление
      От mjsn1k в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.01.2013, 14:08
    4. Реклама в браузерах
      От Mag_Rom в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.11.2012, 15:19
    5. Реклама во всех браузерах
      От Alrkom в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.11.2012, 08:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01645 seconds with 20 queries