Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Вирус в браузере |
<<Назад Вперед>> | Страницы: 1 2 3 | Печать |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
При работе в браузере Google Chrome заметил, что с сегодняшнего вечера при отправке запроса в поиск Google идёт перенаправление ссылки вначале на Яндекс, а затем на Mail.ru. Полез в настройки браузера и увидел это: Строчку "По умолчанию" под администратором не выключить. Переустановка Хрома не помогла. CureIT вирусов не обнаружил. Утилита AVZ обнаружила и удалила следующие файлы: C:\Windows\System32\Drivers\aswSnx.SYS;4;Перехватчик KernelMode C:\Windows\System32\Drivers\aswSP.SYS;4;Перехватчик KernelMode \SystemRoot\System32\Drivers\aswSP.SYS;4;Перехватчик KernelMode c:\users\админ\appdata\local\temp\1B8C19FE2.sys;4;Перехватчик KernelMode C:\Windows\Temp\TS_FACD.tmp;2;Подозрение на Trojan.Win32.Agent2.byu ( 1C9F51F1 1E621768 004D6E44 004D6E44 131072) После перезагрузки всё осталось по прежнему, хотя я удалил эти файлы самой утилитой. Где копать (в Internet Explorer то же самое происходит)? |
Arseny
Advanced Member
,,,=^..^=,,, Откуда: Bryansk, Russia Всего сообщений: 1722 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 окт. 2005 |
Снимать винчестер и копать на другой машине. |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Arseny, что именно с винчестером делать кроме проверки антивирем? |
kot99
Full Member
Откуда: Псков Всего сообщений: 240 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 7 фев. 2014 |
Димас, у вас роутер есть? Я один раз поймал вирус, который показывал рекламу в браузере. Чистил комп, помогало до перезагрузки. Смог вылечить компьютер только после сброса настроек роутера и изменения пароля от админки. |
slaventus86
Advanced Member
Откуда: Сосновый Бор, Ленинградская область Всего сообщений: 373 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 25 авг. 2011 |
Попробуйте просканировать программой adwcleaner, можно не снимая жесткий диск |
hoorma
Advanced Member
Енотовод Откуда: Омск Всего сообщений: 1703 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 фев. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 24 февраля 2015 5:39 Сообщение отредактировано: 24 февраля 2015 5:41
Дурацкий совет, но мне несколько раз помогало: Прошерстите список установленных программ в панели управления. Может быть, это следствие действий какого-нибудь помощника Яндекс или спутника Mail.ru? Вообще часто появление сторонней рекламы лечится удалением соответствующих приложений. P.S. Если другие варианты не помогают, я обычно полагаюсь на Lavasoft AdAware. |
Дениска
Advanced Member
Откуда: Хабаровск Всего сообщений: 1561 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 6 авг. 2009 |
Димас,В Виндовсе есть хост файл в котором прописываются перенаправленный любых сетевых адресов и имён. Надо этот файл открыть загрузившись с лайвсиди . Бывает строки перенаправленный прячутся за границы видимой области редактора при открытии файла. |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 24 февраля 2015 9:52 Сообщение отредактировано: 24 февраля 2015 9:59
kot99, есть два роутера. Попробую сбросить настройки, если ничего не поможет. Но другие ПК, получающие интернет от этого роутера работают нормально. slaventus86, приду с работы, просканирую и отпишусь. hoorma, это в первую очередь сделал, но перенаправление в браузере осталось, но не на Яндекс, а на yamdex.net, после на mail.ru. Дениска, спасибо, не знал, что строки могут прятаться за видимой областью редактора. Приду домой, проверю. |
skoroxod
Advanced Member
вежливый пролетарий Откуда: Старый Оскол Всего сообщений: 8177 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 5 мар. 2009 | |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
skoroxod, очень полезная ссылочка, обязательно сделаю по рекомендациям в ней сегодня. |
Arseny
Advanced Member
,,,=^..^=,,, Откуда: Bryansk, Russia Всего сообщений: 1722 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 окт. 2005 |
Димас написал: Именно проверять антивирем. Можно в несколько проходов. Запускать антивирь из зараженной системы (особенно если вырус работает на уровне ядра, см. "Перехватчик KernelMode") все равно что делать себе самому операцию. Arseny, что именно с винчестером делать кроме проверки антивирем? На другом компе первым делом удалить все содержимое из папок: c:\users\админ\appdata\local\temp\ c:\users\админ\appdata\local\Temporary Internet Files C:\Windows\Temp\ RECYCLER и RECYCLED Потом убедиться что в c:\users\админ нет никаких .EXE файлов, да и вообще никаких файлов не имеющих в имени NTUSER (но тут нужно осторожней действовать). Ну и лечиться антивирусниками. Кстати, не вижу что система проверялась KAV'ом - это зря. |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Arseny, не заражу ли я другой комп, пока свой SSD буду проверять? Что может пойти не так, если я удалю файлы, имеющие в имени NTUSER? Боюсь, что ПК привиснет с KAV'ом, учитывая мою конфигурацию: Материнская плата: ASUS P4P800-E; Процессор: Intel Pentium 4 3 ГГц; Память: 2,5 Гб. |
Arseny
Advanced Member
,,,=^..^=,,, Откуда: Bryansk, Russia Всего сообщений: 1722 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 окт. 2005 |
Димас написал: Не должны. Вирус сам по себе не стартует - он при заражении прописывает себя в разные места откуда потом стартует. Arseny, не заражу ли я другой комп, пока свой SSD буду проверять? Димас написал: Потеряете настройки пользователя. Файлы в корневой папке c:\users\админ - это реестр пользователя и прочие служебные файлы. Что может пойти не так, если я удалю файлы, имеющие в имени NTUSER? Димас написал: Да ладно! Он и на более худших работает. Кстати, у каспера тоже есть лечащий диск - скачать с их сайта образ, записать и загрузиться с него. Боюсь, что ПК привиснет с KAV'ом, учитывая мою конфигурацию |
Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Было что-то подобное, только на опере - запускается браузер и открывается порнокартинка на весь экран с надписью типа пришлите туда-то деньги для разблокировки. Антивирусы ничего не находили. Виноват оказался маленький скриптик где-то в каталоге оперы. Его удаление решило проблему. Так что ищите лишний файлик с расширением js. И на будущее не включайте яваскрипты на непроверенных сайтах. Не знаю как в хроме с оперой, но в файрфоксе есть примочка noscript, которая в этом помогает. |
slaventus86
Advanced Member
Откуда: Сосновый Бор, Ленинградская область Всего сообщений: 373 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 25 авг. 2011 |
Вы все-таки попробуйте AdwCleaner, она специально была создана для борьбы с adware и подобными прогами. На virusinfo ее постоянно предлагают в таких случаях. Программа проверяет плагины браузеров, соответствующие ветки реестра, запущенные процессы. Пользовался уже десятки раз, никогда не подводила. Даже мейл.ру агента распознает. Естественно, после сканирования сами принимаете решение, что удалять, что оставлять. |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Случаем ни кто не знает, на что нацелен данный вирус? Мне кажется, что на сбор паролей от всего и вся. |
hoorma
Advanced Member
Енотовод Откуда: Омск Всего сообщений: 1703 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 фев. 2011 |
Димас написал: Когда-то давно читал про вирусы, нацеленные на накрутку счетчиков просмотра рекламы... За каждый просмотр хозяин вашего ямдекса получает, скажем, копейку. За день вы ему рублей 10 отчислениями рекламодателей можете перечислить. А зараженных людей десятки тысяч... Вот и получается кругленькая сумма. Случаем ни кто не знает, на что нацелен данный вирус? Мне кажется, что на сбор паролей от всего и вся. |
kot99
Full Member
Откуда: Псков Всего сообщений: 240 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 7 фев. 2014 |
hoorma написал: Копейка - это очень мало. В среднем за 1 показ рекламы платят от 10 до 50 копеек. Тот вирус, который был у меня, показывал 10-15 рекламных объявлений на странице. То есть, с каждой открытой в браузере страницы - минимум рубль. А если учесть, что зараженных компьютеров тысячи, то доход получается немалый. Когда-то давно читал про вирусы, нацеленные на накрутку счетчиков просмотра рекламы... За каждый просмотр хозяин вашего ямдекса получает, скажем, копейку. За день вы ему рублей 10 отчислениями рекламодателей можете перечислить. А зараженных людей десятки тысяч... Вот и получается кругленькая сумма. |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
slaventus86 написал: Просканировал вчера им, нашёл ветки в реестре, в Хроме - ничего. После перезагрузки ситуация не изменилась. Вы все-таки попробуйте AdwCleaner Так же удалил все ветки реестра, которые содержат слово "yamdex", а так же все ветки Google, Mail и IObit. Похоже, что придётся копать SSD на другой машине. |
maxfox
Full Member
Откуда: С-Пб, Рамбов, Петергоф, Стрельна etc. Всего сообщений: 266 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 23 авг. 2014 |
Была у меня ситуация, когда в Firefox'e слова подчеркивались и лезла реклама. Помогла программулька spyhunter 4. Токма кряк надо нарыть, а то при поиске находит, а лечить - давай говорит лицензию. И после лечения сбросить браузер на дефолтные настройки. |
STIW
Advanced Member
Откуда: Тамбов Всего сообщений: 2410 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 2 мая 2007 |
Тоже поймал эту падлу... Откатил винду на 04.02.2015 и удалил яМдекс в хроме |
Димас
Advanced Member
Откуда: Краснодар Всего сообщений: 1217 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 сен. 2009 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 27 февраля 2015 17:55 Сообщение отредактировано: 27 февраля 2015 18:03
STIW, мне очень помогла ссылка http://www.linuxshop.ru/forum/...x-net.html предложенная skoroxodом. Сделал следующее: 1) Удалил в реестре все ветки с yamdex; 2) В командной строке сделайте следующее : 1 - RD /S /Q "%WinDir%\System32\GroupPolicyUsers" 2 - RD /S /Q "%WinDir%\System32\GroupPolicy" 3 - gpupdate /force 3) Удалил в браузере yamdex. проделал это буквально час назад. |
STIW
Advanced Member
Откуда: Тамбов Всего сообщений: 2410 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 2 мая 2007 |
После отката веток с яМексом не обнаружено. |
<<Назад Вперед>> | Страницы: 1 2 3 | Печать |
Полигон-2 » Технический флейм » Вирус в браузере |
1 посетитель просмотрел эту тему за последние 15 минут |
В том числе: 1 гость, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |