-
Junior Member
- Вес репутации
- 45
host.exe copy.exe Файл хост пустой. Перенаправление на рекламные сайты. Сбои сетевых интерфейсов.
host.exe copy.exe были получены с флешки. Антивирус AVG блокировал софт. Был так же доступ на сомнительный сайт и попытка запуска сомнительного актив х элемента.
После этого:
Файл хост пустой. Перенаправление на рекламные сайты. Сбои сетевых интерфейсов.
Ошибки удаленного доступа и запуска софта для удаленного администрирования.
Logs:
Какие дальнейшие действия?
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rins, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Выполните в АВЗ:
Код:
begin
QuarantineFile('C:\Program Files\Kino-Filmov.Net\prxtbKin0.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 45
Techno,
Спасибо.
Проблема частично решена ручной обработкой.
Карантина не будет, все удалено, связи с удаленной системой по техническим причинам на данный момент нет.
..
Отдельно прошу обратить внимание на ресурс Kino-Filmov.Net
Посредством скриптов и фейковых банеров с этого ресурса происходит переадресация на сайт с pop-up фейковым "сканером вирусов", с которого можно получить аналог файла prxtbKin0.dll и происходит атака.
P.S.
Особо хочу обратить внимание на ссылки с сайта anoni.ru
По ходу работы, были замечены pop-upы с данного домена, с требованием ввода номера и последующим подтверждением смс на платный номер.
Всплывающие окна появлялись при попытке входа на русские сайты поддержки игр. Например russobit-m.ru в строке заголовка и в описании фальшивой ссылки было описание и заголовок официального ресурса. Сам же url при этом был с домена anoni.ru