Коварный dota2game.org пробрался в браузер и открывает свои вкладки
Доброго времени суток! Каким то непостижимым для меня образом (вроде никакими репаками и пиратками в последнее время не баловался), засело в моей системе нечто, что запускает в браузере Opera вкладки с вышеупомянутым dota2game.org (словно какой то скрипт засел и в рандомные промежутки времени выполняется). Бразуер может висеть целые сутки и эта вкладка не появляется, а может в течении часа 2-3 раза выскочить. Устроил тотальный шмон по системе утилитам AVZ, CureIt!, Kaspersky VRT (нашёл подозрительный установочник .msi - удалил), Panda Cloud, MBAM, AdwCleaner, HitmanPro! (нашёл подзрительные куки в кэше IE), Emsisoft EmergencyKit (нашёл 4 подозрительных, но якобы безопасных ключа в реестре - я их удалил, но как выяснилось никакого отношения к dota2game.org они не имеют). Удалил Оперу (вычистил реестр), пересел на браузер с другим движком (Firefox) и сидел почти день в ус не дул, как вдруг БАЦ! - снова открыта вкладка с dota2game.org
В качестве основной защиты в системе установлены: BitDefender IS 2016, Adguard, SkyDNS. В текущем браузере из расширений noScript и HTTPS Everywhere
Помогите, люди добрые! Не ламер, но справиться сам не смог (первый раз, мамой клянусь) - нервишки уже шалят.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) MadKane, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Т.к. зловред не детектился никакими антивирусными средствами, то пришёл к выводу, что он засел где то в стандартных службах или приложениях Windows. Решил проверить "Планировщик заданий" и обнаружил действующую задачу под именем MS с командой открытия URL-адреса http:\\gangnamgame.net (или .org, уже не помню) при переходе на который происходит редирект на dota2game.org Как это задание прописалось туда - непонятно. Думаю, что проблема решена, однако нужен больший срок - отпишусь через сутки.
Спустя почти сутки проблема себя не проявляла. Причины ей появления я так же не выяснил - скорее всего зацепил на каком то файловом хостинге. Пару дней назад на одном из них словил незакрываемую страницу с кучей рекламы (Adguard не помог) на которую был редиректнут - пришлось перезапускать браузер
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
4 попытки загрузить архив оказались безуспешными (ошибка The connection was reset). Архив объёмом 170 мегабайт. Судя по логам AVZ он упаковал туда часть рабочих файлов Bitdefender IS 2016, Sticky Password (зачем ему рабочие файлы моего менеджера паролей?) и Steam (тоже непонятно для чего, я поостерегусь рассылать этот архив т.к. моя учётная запись в Стиме стоит по меньшей мере 50 тысяч рублей). Проверка десятком разных утилит от крупных разработчиков (в том числе загрузочные на основе ОС Linux) не выявляет больше ни единой проблемы. Скрипт AVZ не выявил уязвимостей.
файлы программ никаких сведений о настройках паролях и т.д. не содержат.
2)
Сообщение от MadKane
зачем ему рабочие файлы
для того чтобы добавить их базу безопасных файлов. Это облегчает анализ логов.
3) Никто из хелперов доступа к файлам загруженной по той ссылке не имеет.
Бесполезно, через некоторое время после начала загрузки скорость отправки падает до нуля и через десяток минут спустя "The connection was reset" Безымянный.jpg
Интернет конечно не очень (ADSL), но глюков за ним не замечено. Всё, что могло препятствовать загрузке отключал.
файлы программ никаких сведений о настройках паролях и т.д. не содержат.
Откуда мне знать, что AVZ конкретно отправляет? У Sticky Password где-то локальный репозиторий с паролями хранится - вы даете гарантию, что он вдруг не уйдёт на сторону (под видом потенциально небезопасного файла)? Я думаю что нет. Он конечно зашифрован, но мало ли что.
Последний раз редактировалось MadKane; 28.11.2015 в 22:07.
Уважаемый(ая) MadKane, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: