-
Junior Member
- Вес репутации
- 48
Заблокирован доступ к сайтам социальных сетей, файл hosts не модифицирован
Здравствуйте!
Не удается зайти на сайты социальных сетей (Одноклассники, Мой мир и т.д.) с пораженного компьютера. Сайт подменяется на фишинговый, где выдается сообщение об ошибке авторизации и запрос номера телефона. С других устройств, подключенных к интернету через тот же роутер (планшет, ноутбук) вход осуществляется без проблем.
ОС: Win7 x86 Home
Установлен антивирус Nod32 (кажется, 5я версия).
С зараженного компьютера хост odnoklassniki.ru определяется как 37.10.116.149, при этом nslookup с роутера дает результат 217.20.147.94.
Производилась полная проверка всех дисков при помощи утилиты Kaspersky Rescue Disc с последними обновлениями. Результатов не дала. Исследование файла .../etc/hosts так же не выявило ничего подозрительного. Скрытых файлов с похожими именами в директории etc/ также нет. Исследования производились при загрузке с KRD через менеджер файлов "Dolphin", а так же из командной строки и консольной оболочки "MC". Ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Tcpip\Parameters\DataBasePath не модифицирован (проверено через Kaspersky Registry Editor).
В порядке эксперимента прописывал вручную в файл hosts настоящий хост Одноклассников (217.20.147.94). После этого при открытии сайта в браузере на несколько секунд открывалась страница авторизации (при этом в адресной строке браузера отображался адрес odnoklassniki.ru), после этого экран браузера обновлялся (как при переадресации) и открывалась визуально неотличимая страница, но запись в адресной строке менялась на h**p://ok.ru/... (дальше параметры GET запроса). Через файл hosts назначил этому домену IP 127.0.0.1, после чего одноклассники ожидаемо перестали открываться.
При этом ОС в общем и целом слегка подглючивает: через остнастку "Управление сетевыми адаптерами" не удается отключить LAN интерефейс (разъединение происходит только после перезагрузки), в "Моем компьтере" на панели избранного не отображаются папка "Рабочий стол" и некоторые библиотеки и т.д.
В общем и целом впечатление такое, что в системе резвится свежий и пока не добавленный в антивирусные базы руткит.
Была произведена проверка и сбор информации о системе согласно инструкции. Отчеты прилагаю.
Буду благодарен за помощь!
Последний раз редактировалось Rampager; 16.02.2014 в 05:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rampager, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HijackThis:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0FB4FF8-8C9B-4ED6-90B5-7A783DC40C3F}: NameServer = 37.10.116.202,8.8.8.8
После перезагрузки в консоли выполните ipconfig /flushdns и сделайте повторный лог virusinfo_syscheck этой версией AVZ http://z-oleg.com/avz_mini.exe
- - - Добавлено - - -
Запуск программ выполнять правой кнопкой мыши от имени администратора.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
Aleksandra
То есть, зловредов в системе нет, дело в модификации конфигов? Просто система запланирована под снос и переустановку. Я этого до сих пор не сделал только из-за риска повторного заражения, если какая-то зараза все же где-то окопалась. Рекомендованные Вами действия я, конечно, произведу, но можно ли уже на данный момент переустанавливать систему без опаски?
А в чем отличие mini-версии AVZ? Где об этом можно почитать?
Спасибо!
-
Junior Member
- Вес репутации
- 48
Сообщение от
Aleksandra
Пофиксите в HijackThis:
После перезагрузки в консоли выполните ipconfig /flushdns и сделайте повторный лог virusinfo_syscheck этой версией AVZ
http://z-oleg.com/avz_mini.exe
- - - Добавлено - - -
Запуск программ выполнять правой кнопкой мыши от имени администратора.
Сделано, помогло. Большое спасибо! И как я сам не обратил внимания, что DNS-сервер левый, когда nslookup делал?.. 
Повторное сканирование сделал, лог во вложении.
