Переадресация на moby.com.

[Samhit]

Здравствуйте. У меня винда семерка максимум х64. Малой полазил по сети и что-то подцепил. При попытке посмотреть что-либо на фотохостинге (на любом) Хром меня отправляет на страницу авторизации http://ruxxx-mobi.com/, что разумеется, меня совсем не устраивает.
Кажется, все упаковал..

Вот логи:

[Info_bot]

Уважаемый(ая) Samhit, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Проблема только в Хроме?

[Samhit]

Да, я пользуюсь только хромом. На фотохостиги сам захожу без проблем, фото выкладываю... А вот при попытке зайти по ссылке или превью - улетаю. Заскринил момент переадресации, там какой-то другой адрес... Может это вам поможет..

- - - Добавлено - - -

Установил Мозиллу, попробовал. Тоже самое, что и в Хроме - при попытке посмотреть превью или ссылку на каком-нить фотохостинге выкидывает к бабам.

[thyrex]

Пофиксите в HiJack

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{02D40166-44BC-4480-999D-03096892FD03}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AA37640-0D7A-471A-B0C1-923EBDEB5338}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B027E2A-FCA0-4AEF-9A5B-63E2EE128A0A}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F048209-C66D-4FC8-84E6-2A81DB986558}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{996AECF0-3967-4FB6-85A2-F7059FDFCA90}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{A138D442-DF04-4508-B833-5D3FC4031A4D}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{F325E612-7EB4-45DA-9104-9E134B40A427}: NameServer = 10.52.129.36 10.52.129.56
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD82B06A-5F54-407A-B0D3-DF82C71FE58C}: NameServer = 10.52.129.36 10.52.129.56

Сделайте новый лог

[Samhit]

Новый лог

[thyrex]

Что с проблемой?

[Samhit]

Сначала ваш сайт вырубило. Что интересно, на соседней вкладке инет остался. (Там как раз переадресацию проверял).
После перезагрузки вы снова доступны, переадресация на "моб-ка" сохранилась.

[thyrex]

Интернет через роутер?

[Samhit]

Интернет через USB-модем (3G Мегафон). Сейчас почистил систему Ccleaner-ом, просто, от лишней грязи. Картина чуть изменилась - на секунду стало мелькать изображение (на которое ссылка), а уже потом перебрасывает на баб. Пробовал и на Фастпик.ру, и на радикале, и на Имиджлик, и фастлинк - любой фотохостинг переадресовывается к бабам.

[thyrex]

Сделайте лог ComboFix

[Samhit]

Лог комбофикс

[Samhit]

Ну и что говорят логи?
За это время пробовал: прогнал сканерами Курейт (из безопасного режима), KSS, Малваре-Антималваре, Аваст. Судя по их показаниям система девственно чиста.
Может это чем-нить поможет? Файл "хост". Пишут, что там должна быть только одна запись. Я однажды пробовал вычистить и у меня слетела активация части программ..Может что тут зависло лишнее?

[thyrex]

В логах порядок

Пока идей больше нет

[Samhit]

Не хочется сносить систему. Видимо придется.

- - - Добавлено - - -

Как удалось выяснить, это что-то "ненавязчивое" от Мегафона, что-то сродни знаменитой Вэбалте (кстати, она теперь ручная). Вот только где искать концы никак не пойму...
Курейт подчистил хост, так что там теперь чисто... А переадресация на месте..

Выкидывает вот поэтому адресу (что-то я ступил, ссылку ведь можно было сохранить и скопировать) - http://wap.megafonpro.ru/is3nwp/psmc...f-1e133d67c13b

- - - Добавлено - - -

На сыновом номере висела маленькая тележка и большой воз всяких подписок. И все по девочкам.. Возраст, блин..
Вот уж откуда камень не ждал..Отписался от всего, пришла SMS - "Вы успешно отписались от всех подписок. Услуги за оплаченный период будут оказаны в полном объеме". Чтоб их разорвало!!!

[Samhit]

Только вот интересно, сколько продлится этот оплаченный период. Не могу посмотреть скрины и фотографии до сих пор.
Я так полагаю, что этот назойливый сервис где-то должен быть прописан в системе. Только вот где?
Немного потерплю и шарахну систему. Жуть как не хочется..Много настроенных программ..

- - - Добавлено - - -

Проблема решилась. Прошли сутки, видимо оплаченный период закончился, и я снова вижу скрины!
Спасибо за участие и попытку помочь. Проблема оказалась в другом (описано чуть выше)

[regist]

Удалите ComboFix

Только вот интересно, сколько продлится этот оплаченный период. Не могу посмотреть скрины и фотографии до сих пор.
Я так полагаю, что этот назойливый сервис где-то должен быть прописан в системе. Только вот где?
Немного потерплю и шарахну систему. Жуть как не хочется..Много настроенных программ..

не думаю, что это помогло бы. Скорее всего перенаправления происходят на стороне провайдера.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Советы и рекомендации после лечения компьютера

[Samhit]

Скорее всего перенаправления происходят на стороне провайдера.

Ну да, теперь и я это понял. Собственная лень спасла систему от переустановки.. А обновление и закрытие уязвимостей я уже делал. Вчера.. Все равно спасибо!