Подмена стандартных рекламных баннеров vk.com и взлом почты mail.ru
Здравствуйте.
Недавно на сайте vk.com обнаружил подмену рекламы: вместо обычных двух рекламок появляется длинный анимированный баннер с рекламой заработка в сети или онлайн игр или три блока рекламы сайтов знакомств, рецептов похудения и пр. После чистки CCleaner'ом проблема исчезала на несколько минут, потом снова появлялась. Точно так же стала появляться реклама в приложении ВКонтакте, причём абсолютно такой же баннер, как в приложении, вылез на одном из форумов, который я посетил в поисках решения проблемы. Но том форуме у пользователя была такая же проблема, как у меня, помочь ему не смогли, но он в итоге написал: "Проблему решил. Ничайно в ручную нашел в моих документах запрятаную папку Scripts, а там два js файла witkontakt.user и witPlugin.user. Удалил их и все ок. Странно что каспер не нашел их." - у меня такой папки не обнаружилось (если надо, могу скинуть ссылку на тему в том форуме). Сейчас даже после чистки CCleaner'ом баннеры подменяются сразу при входе в Контакт. Такое впечатление, что эта тварь за несколько дней подросла и возмужала.
Проблема с баннерами появляется только в опере. На компьютере установлено несколько браузеров (ставил, чтобы выбрать наиболее удобный): гугл-хром, яндекс-хром, мэйл-хром, firefox, safari, internet explorer (если его за браузер ещё считают) - с ними всё в порядке, все браузеры устанавливал примерно в одно время ещё в июне или июле.
C файлом hosts всё в порядке: буквы в имени файла на латинице, скрытых файлов в папке нет, полос прокрутки в файле нет, он коротенький и почти как стандартный, в конце одна строчка лишняя (может, и не лишняя, просто не помню, чтобы она там была), но она с комментарием, так что, безопасная:
# ::1 localhost
Всё это не так страшно, но потом выяснилось, что в мою почту на mail.ru заходит какое-то тело с липецким ip и свинячит в "Моём Мире" - наставил кучу статусов со ссылками и добавил фоток с рекламой сайтов для похудения, из-за чего "Мой Мир" меня заблокировал. Я сменил пароль и секретный вопрос с другого компьютера, с этого уже боюсь куда-то заходить. Пользуюсь менеджером паролей, сохранены были пароли к mail.ru, yandex.ru, qip.ru - взломана только почта на mail.ru (точнее, этот взлом я запалил, возможно, и другие взломаны, но я не знаю, как это определить).
На ноуте стоит Windows 8, из защиты - уже установленный Windows Defender. После обнаружения вирусной активности просканировал комп утилитой Dr.Web CureIt - ничего не нашёл.
Скачал Kaspersky Security Scan. Этот показал наличие уязвимостей в winamp и системном файле в папке sysWOW64 - обновил Winamp до последней версии и скачал патч MSXML 4.0 SP3 Parser, устраняющий зафиксированую проблему. Не помогло.
Скачал Kaspersky Virus Removal Tool. Этот выразил недовольство обозревателями кэша от NirSoft (www.nirsoft.net). Трогать их я не стал, они довольно давно у меня, ещё на другом ноуте с Windows XP их использовал, KIS на них тогда не ругался. Ничего не изменилось, баннеры всплывают...
Скачал kis14.0.0.4651. Этот также обратил внимание на продукцию Nirsoft и прогрмму для преобразования файла паролей Оперы в табличный вид. На всякий случай я их удалил. Ещё Каспер позаботился об удалении установочного файла Adobe Dreamweaver со встроенным патчем (или как там это называется) - программка записывала в hosts ip-адреса серверов Adobe. На этом всё - и баннеры всё ещё появляются.
Сделал полную проверку Каспером с максимально жёсткими настройками в безопасном режиме - ничего.
Вот такая печальная история. Помогите написать к ней счастливый конец
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kozar-sergey, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
Прошу прощения за задержку, у меня маленький ребёнок, пришлось отвлечься.
Всё сделал, как вы писали. Обратил внимание на запись, сделанную AVZ во время проверки:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
Отсутствие этого файла ntoskrnl.exe критично для работы ОС?
Пункты 5 и 6 - я не отключал проверку. Так и должно быть?
Это особенность работы AVZ на 64 разрядной системе.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Проблем было две: с баннерами и с почтой. Только что закрыл все программы и браузеры, почистился CCleanr'ом, перезагрузился - баннеры как были, так и остались. На почту пока боюсь заходить с этого ноута, я так и не знаю, что произошло: у меня стырили файл паролей к Опере или я просто забыл нажать кнопку "Выйти" и этим воспользовались? Если второе - сменой пароя всё решилось, новый пароль я в Опере не запоминал (поскольку с ним ещё даже и не входил в почту). Если первое, то надо понять, зараза, которая стырила файл паролей, где? Если на компе её нет, то вопрос со взломом почты можно уже опустить, а если всё ещё на компе?
Спасибо за вашу помощь, Михаил. Что ещё можно предпринять, кроме встренного сервиса "Восстановления системы без удаления файлов"?
Михаил, я писал вначале, что на одном форуме пытались решить такую же проблему, и пользователь в итоге написал: "Проблему решил. Ничайно в ручную нашел в моих документах запрятаную папку Scripts, а там два js файла witkontakt.user и witPlugin.user. Удалил их и все ок. Странно что каспер не нашел их."
Так вот, у меня Windows 8 всего несколько месяцев, и я не особо в ней разобрался (точнее - вообще она меня бесит), в частности, поиск встроенной службой у меня вообще ничего не находит. Набираю Win+F, ввожу имя заведомо существующего на компьютере файла - и ничего. Видимо, алгоритм поиска другой, не такой, как в Windows XP. Если бы вы подсказали, как "по-старинке" искать файлы, может, я и нашёл бы те самые два js файла witkontakt.user и witPlugin.user, если они есть?
Оригинально... Стояло расширение Desktopy версия 1.1 от Desktopy LLC, после его отключения в Контакте появилась обычная реклама, этих анимированных баннеров больше нет, в приложении в Контакте баннеры тоже исчезли.
Спасибо вам огромное, Михаил, эту проблему, видимо, закрыли. У меня есть желание не только отключить это расширение, но и удалить его. Или вам нужна эта зловредина для изучения? Как быть с почтой? Пользоваться, как раньше, пока не появится подозрение в очередной краже?
Нет ее нужно удалить. Самое главное название теперь знаем.
На почте можете сменить пароли. А так можете всегда оформить новую заявку если будут какие нибудь подозрения на вирусы.
Загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Удалил, обновления для браузеров установил.
На будущее: если я какими-то браузерами пользоваться точно не буду, их лучше удалить для большей безопасности?
Если их своевременно обновлять, то в принципе можно и не удалять их. Хотя с другой стороны если вы не используете какие нибудь сторонние браузеры, то их можно удалить.