Переадресация и попапы

Printable View

27.05.2009, 03:31
Shuraz

Переадресация и попапы

Доброй ночи, нуждаюсь в Вашей помощи:
при переходе по ссылкам браузер открывает совсем другие сайты :((либо с адресом, как в ссылке, но с другим содержанием, либо совсем с другим адресом), вылетают попапы, а страница, с которой переходил, тоже уходит на другой сайт. Приходится несколько раз возращаться назад (причем кликать с большой скоростью:dash1:, иначе ничего не меняется).

Заранее благодарю за помощь.
27.05.2009, 04:11
Bratez

[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E2E439-F1A3-45DE-BBCD-47AB7E25B473}: NameServer = [B]195.34.32.116 212.188.4.10[/B][/QUOTE]
Адреса серверов DNS правильно прописаны?
27.05.2009, 12:53
Shuraz

Адреса серверов DNS

хостер дал вот эти номера

ns1.hostplus.ws 64.191.75.153
ns2.hostplus.ws 91.204.72.48

значит неправильно?
30.05.2009, 07:01
pig

А провайдер что говорит? Или хостер и есть провайдер?
02.06.2009, 19:47
Shuraz

я запутался

извините, я запутался, причем тут адреса DNS серверов? и каких серверов? где узнать правильные адреса серверов? я сначала указал те адреса, что узнал у своего хостера, у которого мой сайт размещен (замутнение в голове). Потом понял, что причем здесь мой сайт?
Bratez, уточните, пожалуйста, Ваш вопрос
03.06.2009, 03:26
Bratez

Ваш сайт и хостер естественно ни при чем.
Имеются ввиду адреса серверов DNS вашего провайдера. Возможно их и вовсе не требуется указывать, а если требуется - то ваш провайдер должен предоставить такую информацию.
Если не требуется или приведенные выше адреса не принадлежат вашему провайдеру, данную строчку в HijackThis надо пофиксить.
03.06.2009, 05:45
Shuraz

пофиксил 017

пофиксил 017, а после перезагрузки она опять нарисовалась. значит, наверное, строчка нужна (у меня стрим и адреса в настройках стрима устанавливаются автоматически). неужели от нее могут зависеть вылетающие попандеры (с нашим русским контентом, но на буржуйских сайтах, например) и зависоны IE? спасибо
03.06.2009, 09:45
Bratez

[QUOTE=Shuraz;410974]неужели от нее могут зависеть вылетающие попандеры (с нашим русским контентом, но на буржуйских сайтах, например) и зависоны IE? спасибо[/QUOTE]
Конечно! Если это не настоящие DNS-серверы, а подставные, "троянские". Я проверил эти адреса через [I]whois[/I], они действительно принадлежат вашему провайдеру.
10.06.2009, 11:08
Shuraz

Еще один вопрос

Извините, но к уже вышесказанным "неудобствам" добавилось следующее: при переходе по ссылкам (в гугле, yahoo) открывается не окно с ссылкой, пустое окно и в строке состояния IE указывается (видимо подставляется) адрес 64.861.33.28 + крякозябры, соответственно окно не отображается. Перейти получается со 2-3 раза. На некоторых сайтах не работают фильтры, например.
Опера, например, на это дело не реагирует, а IE, Firefox, Safari по полной.
Нод выдал, что нашел трояна и удалил его (Win32/Agent.PKH Trojan), но, что-то видимо осталось.

Вот логи. Спасибо за помощь.

Если я неправильно делаю, что добавляю новую проблему в эту тему, скажите, и я создам новую.
10.06.2009, 11:33
Bratez

Ага, вот теперь вся красота вылезла наружу! :D

Пофиксите в HijackThis:
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED9588A2-CE1B-4ED5-B469-3B052F1E8B9C}: NameServer = 85.255.112.133,85.255.112.177
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.133,85.255.112.177
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.133,85.255.112.177
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.133,85.255.112.177
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\tempo-12858531.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcwiwqaquhtotgqqkxkngdiqvopxibuoba.sys','');
QuarantineFile('C:\WINDOWS\system32\gxvxcxabockohrlyjnytxepfebvipyhjpjnld.dll','');
QuarantineFile('C:\WINDOWS\system32\gxvxcubwidrqilmyjeralefaqcnpatswkjspw.dll','');
DeleteFile('C:\WINDOWS\system32\gxvxcubwidrqilmyjeralefaqcnpatswkjspw.dll');
DeleteFile('C:\WINDOWS\system32\gxvxcxabockohrlyjnytxepfebvipyhjpjnld.dll');
DeleteFile('C:\WINDOWS\system32\drivers\gxvxcwiwqaquhtotgqqkxkngdiqvopxibuoba.sys');
DeleteFile('C:\WINDOWS\TEMP\tempo-12858531.tmp');
DeleteFile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=46596[/url]).
Сделайте новые логи.
10.06.2009, 17:57
Shuraz

Все сделал

Карантин отправил. Вот логи.
11.06.2009, 17:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]