-
Junior Member
- Вес репутации
- 38
Проблема
Добрый день/вечер
Два дня назад столкнулся с интересным вирусом(?).
Вкратце опишу в чём проблема. При переходе на сайт google.ru грузилась какая-то левая страница с просьбой обновить файрфокс (если зайти с оперы то выйдет похожая страница с подобным предложением но уже для оперы). Ссылка на файл выглядела следующим образом http://google.ru/Firefox Setup Stub 26.1.exe размером до 300кб. Я ради интереса попробовал скачать (антивирус NOD32 был включён и не дал скачать файл).
Из журнала антивируса:
26.11.2013 22:06:30 Фильтр HTTP файл http://google.ru/Firefox Setup Stub 26.1.exe Win32/Sality.NDM вирус соединение прервано - изолирован HOMEFRONT1024\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: D:\Program Files\Mozilla Firefox\firefox.exe.
Тогда я первым делом проверил файл hosts, но он был чист. Проверил комп сначала NOD-ом, потом drweb-ом live usb. Опять же ничего не нашёл. Позже установил Malwarebytes Anti-Malware, запустил сканирование и обнаружил в C:\RECYCLER\S-1-5-21-343818398-796845957-1417001333-1003\Dc1.exe (PUP.HackTool.Havis) поместил в каратнин и снёс. На следующий день запустив компьютер по началу всё было нормально но потом всё повторилось. Сайт google.ru и fb.com не открывались а вместо них опять выдалась страница с обновлением. Что странно url страницы не изменялся. Это проблема появляласб так же неожиданно как и пропадала. Через раз можно было зайти на эти сайты. Пока я пишу это сообщение домен google.ru доступен, а http://mail.google.com/ нет. Скриншот прилагается.
scr.jpg
PS.
Позже заметил что Malwarebytes Anti-Malware блокирует входящие/исходящие соединения которые считает опасными. (На компьютере установлен Яндекс диск может он его блокирует, хотя это врятли некоторые ipы украинские).
Код:
2013/11/28 13:07:32 +0400 HOMEFRONT1024 IP-BLOCK 89.108.64.176 (Type: outgoing)
2013/11/28 13:26:13 +0400 HOMEFRONT1024 IP-BLOCK 37.221.170.73 (Type: outgoing)
2013/11/28 14:34:55 +0400 HOMEFRONT1024 IP-BLOCK 194.54.83.227 (Type: outgoing)
2013/11/28 16:22:17 +0400 HOMEFRONT1024 IP-BLOCK 212.113.44.163 (Type: outgoing)
2013/11/28 16:23:56 +0400 HOMEFRONT1024 IP-BLOCK 91.188.44.97 (Type: incoming)
2013/11/28 16:44:18 +0400 HOMEFRONT1024 IP-BLOCK 93.170.147.186 (Type: incoming)
2013/11/28 19:25:55 +0400 HOMEFRONT1024 IP-BLOCK 188.64.170.220 (Type: outgoing)
2013/11/28 19:36:11 +0400 HOMEFRONT1024 IP-BLOCK 77.221.130.45 (Type: outgoing)
2013/11/28 19:36:51 +0400 HOMEFRONT1024 IP-BLOCK 194.54.83.227 (Type: outgoing)
2013/11/28 19:53:06 +0400 HOMEFRONT1024 IP-BLOCK 93.170.147.88 (Type: incoming)
2013/11/28 19:55:34 +0400 HOMEFRONT1024 IP-BLOCK 81.177.140.4 (Type: outgoing)
2013/11/28 20:18:33 +0400 HOMEFRONT1024 IP-BLOCK 213.186.127.244 (Type: outgoing)
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) necrofrost, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Выполните в АВЗ:
Код:
begin
QuarantineFile('D:\Program Files\RDM+\notify.dll','');
QuarantineFile('d:\program files\mozilla firefox\plugin-container.exe','');
QuarantineFile('d:\program files\mozilla firefox\firefox.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте лог AdwCleaner
Подключение через роутер?
-