-
Junior Member
- Вес репутации
- 44
Переадресация на moby.com.
Здравствуйте. У меня винда семерка максимум х64. Малой полазил по сети и что-то подцепил. При попытке посмотреть что-либо на фотохостинге (на любом) Хром меня отправляет на страницу авторизации http://ruxxx-mobi.com/, что разумеется, меня совсем не устраивает.
Кажется, все упаковал..
Вот логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Samhit, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Да, я пользуюсь только хромом. На фотохостиги сам захожу без проблем, фото выкладываю... А вот при попытке зайти по ссылке или превью - улетаю. Заскринил момент переадресации, там какой-то другой адрес... Может это вам поможет..
- - - Добавлено - - -
Установил Мозиллу, попробовал. Тоже самое, что и в Хроме - при попытке посмотреть превью или ссылку на каком-нить фотохостинге выкидывает к бабам.
-
Пофиксите в HiJack
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{02D40166-44BC-4480-999D-03096892FD03}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AA37640-0D7A-471A-B0C1-923EBDEB5338}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B027E2A-FCA0-4AEF-9A5B-63E2EE128A0A}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F048209-C66D-4FC8-84E6-2A81DB986558}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{996AECF0-3967-4FB6-85A2-F7059FDFCA90}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{A138D442-DF04-4508-B833-5D3FC4031A4D}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{F325E612-7EB4-45DA-9104-9E134B40A427}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD82B06A-5F54-407A-B0D3-DF82C71FE58C}: NameServer = 10.52.129.36 10.52.129.56
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Сначала ваш сайт вырубило. Что интересно, на соседней вкладке инет остался. (Там как раз переадресацию проверял).
После перезагрузки вы снова доступны, переадресация на "моб-ка" сохранилась.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Интернет через USB-модем (3G Мегафон). Сейчас почистил систему Ccleaner-ом, просто, от лишней грязи. Картина чуть изменилась - на секунду стало мелькать изображение (на которое ссылка), а уже потом перебрасывает на баб. Пробовал и на Фастпик.ру, и на радикале, и на Имиджлик, и фастлинк - любой фотохостинг переадресовывается к бабам.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
-
Junior Member
- Вес репутации
- 44
Ну и что говорят логи?
За это время пробовал: прогнал сканерами Курейт (из безопасного режима), KSS, Малваре-Антималваре, Аваст. Судя по их показаниям система девственно чиста.
Может это чем-нить поможет? Файл "хост". Пишут, что там должна быть только одна запись. Я однажды пробовал вычистить и у меня слетела активация части программ..Может что тут зависло лишнее?
-
В логах порядок
Пока идей больше нет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Не хочется сносить систему. Видимо придется.
- - - Добавлено - - -
Как удалось выяснить, это что-то "ненавязчивое" от Мегафона, что-то сродни знаменитой Вэбалте (кстати, она теперь ручная). Вот только где искать концы никак не пойму...
Курейт подчистил хост, так что там теперь чисто... А переадресация на месте..
Выкидывает вот поэтому адресу (что-то я ступил, ссылку ведь можно было сохранить и скопировать) - http://wap.megafonpro.ru/is3nwp/psmc...f-1e133d67c13b
- - - Добавлено - - -
На сыновом номере висела маленькая тележка и большой воз всяких подписок. И все по девочкам.. Возраст, блин..
Вот уж откуда камень не ждал..Отписался от всего, пришла SMS - "Вы успешно отписались от всех подписок. Услуги за оплаченный период будут оказаны в полном объеме". Чтоб их разорвало!!!
Последний раз редактировалось Samhit; 23.06.2013 в 21:43.
Дорогу осилит идущий...
-
-
Удалите ComboFix
Сообщение от
Samhit
Только вот интересно, сколько продлится этот оплаченный период. Не могу посмотреть скрины и фотографии до сих пор.
Я так полагаю, что этот назойливый сервис где-то должен быть прописан в системе. Только вот где?
Немного потерплю и шарахну систему. Жуть как не хочется..Много настроенных программ..
не думаю, что это помогло бы. Скорее всего перенаправления происходят на стороне провайдера.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 44
Скорее всего перенаправления происходят на стороне провайдера.
Ну да, теперь и я это понял. Собственная лень спасла систему от переустановки.. А обновление и закрытие уязвимостей я уже делал. Вчера.. Все равно спасибо!