Подмена страниц в социальных сетях и mail`е

Anderson · 05.05.2013, 11:06

Здравствуйте. У меня возникла проблема, которая, судя по тому, что я нашел в гугле, часто возникает у многих в последнее время. А именно - подмена реальных страниц на сайтах vk.com и mail.ru на мошеннические. Судя по тому, что я узнал, такая ситуация возникает в следующих случаях:

1. Подмена файла hosts (проверил, на всякий случай удалил и сделал заново файл hosts, то есть дело не в нем);
2. Подмена пути к hosts в регистре (проверил, это не так)
3. Изменение в худшую сторону файла rpcss.dll (проверил, цифровая подпись в нем оказалась виндовская, антивирусы на него не ругаются, видимо, с ним все нормально)
4. Наконец, последний, который я нашел, вариант - это троян в папке C:\ProgramData\Mozilla (проверил с помощью утилиты от Dr. Web, пишет, что правда троян, судя по всему, оттуда все беды).

Прошу вашей помощи, скрипта или чего-нибудь ещё, чтобы убить этого гада

Прилагаю лог uVS.

Немного данных: Windows 7 Ultimate 64 bit SP 3
Pentium Dual-Core CPU T4500 2.30GHz, 4.0 GB RAM, NVIDIA Geforce GT 240M

safety · 05.05.2013, 12:10

причина здесь - загружаемый через Appinit_dlls троян

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ИГОРЬ\5769043.EXE
addsgn A3DFB7A2504E75731BA18F3C68EC435575E29CE289EA4F2843C6E18551C670B3363BE3572E05625C0FA0848F75D609A3BFD3E87255DAB02C2D77A42FC7062273 64 Trojan.Mods.1 [DrWeb]
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BDNBCLJ.DLL
delref %SystemDrive%\PROGRAMDATA\MOZILLA\BDNBCLJ.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
delref %SystemDrive%\PROGRAM FILES (X86)\SKYPE\\PHONE\SKYPE.EXE
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

Anderson · 05.05.2013, 12:39

Файл вредоносный в папке C:\ProgramData\Mozilla не удалился. Так и должно быть?

Anderson · 05.05.2013, 12:44

Я его удалил с помощью CureIT, вроде бы в соц сеть и мэйл стало нормально заходить. Жду, что ещё скажете сделать, в любом случае, спасибо вам огроменное за то, что вы помогаете людям, уважаемый safety!

safety · 05.05.2013, 12:50

Цитата:

Сообщение от Anderson

Файл вредоносный в папке C:\ProgramData\Mozilla не удалился. Так и должно быть?

Я его не удалял скриптом, только исключил из автозапуска. После перезагрузки он уже не загрузится в память и соответственно безопасен. (а в активном состоянии удаление в uVS его чревато BSOD).

далее, можно дополнительно сделать быструю проверку в малваребайт

Как создать лог сканирования в malwarebytes?

добавлю, что еще один вариант блокирования vk - это подмена DNS на левые айпишники. (надо смотреть в настройках сетевых подключений, и проверять через сервис whois).

Anderson · 05.05.2013, 12:56

Проверка в малваребайт сказала, что всё чисто. Спасибо вам!

safety · 05.05.2013, 13:01

хорошо,
Закрываем основные уязвимости системы и приложений с помощью скрипта в AVZ

05.05.2013, 12:10	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 14888	причина здесь - загружаемый через Appinit_dlls троян выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.77.13 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\USERS\ИГОРЬ\5769043.EXE addsgn A3DFB7A2504E75731BA18F3C68EC435575E29CE289EA4F2843C6E18551C670B3363BE3572E05625C0FA0848F75D609A3BFD3E87255DAB02C2D77A42FC7062273 64 Trojan.Mods.1 [DrWeb] zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BDNBCLJ.DLL delref %SystemDrive%\PROGRAMDATA\MOZILLA\BDNBCLJ.DLL delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr delref %SystemDrive%\PROGRAM FILES (X86)\SKYPE\\PHONE\SKYPE.EXE czoo restart перезагрузка, пишем о старых и новых проблемах. архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

05.05.2013, 11:06
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Кто то уже создавал на нашем форуме подобные обсуждения Валидация аккаунта социальных сетей Подмена сигнала

05.05.2013, 12:39	#3 (permalink)
Anderson Member Регистрация: 05.05.2013 Сообщений: 20 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Файл вредоносный в папке C:\ProgramData\Mozilla не удалился. Так и должно быть?

05.05.2013, 12:44	#4 (permalink)
Anderson Member Регистрация: 05.05.2013 Сообщений: 20 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Я его удалил с помощью CureIT, вроде бы в соц сеть и мэйл стало нормально заходить. Жду, что ещё скажете сделать, в любом случае, спасибо вам огроменное за то, что вы помогаете людям, уважаемый safety!

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

05.05.2013, 12:56	#6 (permalink)
Anderson Member Регистрация: 05.05.2013 Сообщений: 20 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Проверка в малваребайт сказала, что всё чисто. Спасибо вам!

05.05.2013, 13:01	#7 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 14888	хорошо, Закрываем основные уязвимости системы и приложений с помощью скрипта в AVZ