Переадресация на вредоносный сайт с vk.com и odnoklassniki.ru

**DDJamesraw** · 23.07.2014, 17:50

Здравствуйте. Появилась такая проблема на одном из ноутбуков. При вводе в адресную строку домена vk.com или odnoklassniki.ru идёт переадресация на вредоносный сайт с ip адресом 198.175.125.184. Посмотрел через whois, это какой-то закрытый айпишник из Канзаса. Проблема в том, что не могу войти в учётные записи на данных сайтах. Естественно, я понимаю, что была переадресация на вредоносный сайт, и я не вводил никакие данные на этих сайтах, т.к. было визуально видно, что что-то здесь не так. Отсутстовали адекватные гиперссылки при наведении на кликабельные кнопки или тест - например vk.com/about и всё в таком роде. Есть вероятность, что при переадресации идёт кража cookie. Пароль на роутере поменял со стандартного от греха подальше. На других машинах, которые подключены к тому же роутеру таких проблем не наблюдается. Ещё из интересного, когда пингую домен vk.com или odnoklassniki.ru, то не всегда идёт переадресация на злополучный ip. Проверял антивирусом ESET NOD32 Antivirus 7 с актуальными базами, а так же утилитой Kaspersky Virus Removal Tool. Никаких результатов. Так же проверял файл hosts, в нём нет ничего подозрительного, точнее, он пустой. В автозагрузке так же вроде ничего подозрительного не обнаружено. Система win7 x64 ultimate sp1 копия оригинального образа msdn крякнутая. Так же иногда выскакивает попытка установки недостоверного сертификата к login.vk.com. Его я не принимаю. Ещё довольно часто на различных сайтах вылазит просто огромная куча рекламы. Гугл подсказывает, что это связано с mobilegeni daemon + nengine newnextdotme. Через msconfig отключил автозагрузку этой ерунды, но рекламы меньше не стало.
virusinfo_syscheck.zip
hijackthis.log

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.07.2014, 17:52

Уважаемый(ая) DDJamesraw, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 23.07.2014, 19:36

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DC1A2FC-91CA-4CF3-8F5F-7C79E5223F41}: NameServer = 208.115.105.38,8.8.4.4

- Сделайте повторные лог hijackthis.log

- сделайте лог CheckBrowserLnk

**DDJamesraw** · 23.07.2014, 20:53

Сделал всё как описано выше. Вроде пока полёт нормальный. Завтра проверю ещё раз, если будет всё нормально, значит 100% описанные выше действия помогли. Я так понимаю, это DNSChanger, только он(вирус) создал url для эксплорера с фоновым автозапуском и открытием какого-то левого сайта, находящегося по пути C:\Program Files (x86)\Internet Explorer\iexplore.url, который и меняет днски. Файл карантина загрузил 140723_164701_quarantine_53cfe705a0370.zip. Надеюсь, всё сделал верно. Спасибо за помощь!

**regist** · 23.07.2014, 21:43

Сообщение от DDJamesraw

Я так понимаю, это DNSChanger

да.

Сообщение от DDJamesraw

открытием какого-то левого сайта, находящегося по пути C:\Program Files (x86)\Internet Explorer\iexplore.url

точнее вирус подменил ярлык для запуска браузера на свой, таким образом вместо того чтобы просто запустить браузер сначала открывалась левая страничка.
iexplore.url из карантина можете сами открыть блокнотом и посмотреть.

_________________________
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера