16 ответов в этой теме

[JMLabs]

Здравствуйте, прошу помощи с такой ситуации. Во всех браузерах практически всех компьютеров локальной сети происходят непонятные вещи:

1. Загруженная страница начинает трястись вверх-вниз
2. Все русские тексты слетают на нечитаемую кодировку
3. Загруженные страницы переворачиваются вверх ногами
4. Страницы с русским текстом заполнены матом и нецензурной бранью

 

Поскольку я борюсь с проблемой уже больше двух месяцев, то могу сделать кое-какие выводы об этой беде:

1. Все компьютеры проверены разными антивирусами, которые ничего не выявили
2. Проблема со страницами возникает во всех браузерах, включая портабельные
3. Проблема сохраняется при загрузке в безопасном режиме
4. По исходному коду страницы (html), видно, что в него внедряются сторонние java скрипты, которых нет в настоящей странице, пример внедренного скрипта, который вызывает тряску - в конце этого текста
5. Проблема решается если в настойках браузера отключить выполнение javascript
6. Попытки отключить все надстройки браузера не помогают
7. Заражаются компьютеры под управлением Win 8.1, Win 7, а также iPad и Android планшеты
8. При этом в сети есть компьютер под управлением Win 8.1 который почему-то не заражается, что исключает версию заражения роутера или возникновения поддельного шлюза в локальной сети
9. Проблема приходит волнами, бывает по нескольку часов нормальной работы.

script type="text/javascript">
window.onload=function() {
    var move=document.getElementsByTagName("body")[0];
    setInterval(function() {
        move.style.marginTop=(move.style.marginTop=="200px")?"-200px":"200px";
    }, 5);
}
</script>

Прикрепленные файлы:

•  ALEXJD-LAPTOPGS_user_190516_003653.zip   6,59Мб   15 Скачано раз
•  forum_drweb.rar   2,42Мб   8 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Dmitry_rus]

Что-то лог CureIt у вас слишком "лайтовый"...

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 5.167.55.121:3128

Вы используете прокси? Это ваш?

Я бы еще и DNS проверил. Насколько я понимаю, используется DNS роутера. Проверьте его настройки. Попробуйте поставить адрес DNS вручную (8.8.8.8) в свойствах протокола TCP/IP того адаптера, через который подключаетесь к сети.

Временно удалите/отключите все расширения браузера.

O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA358F8-BB38-4402-979F-A190FDFCFF89}: NameServer = 217.66.145.2 217.66.145.1

Это DNS вашего провайдера?

[JMLabs]

Что-то лог CureIt у вас слишком "лайтовый"...

Я все сделал по правилам с помощью forum_drweb.cmd

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 5.167.55.121:3128

Вы используете прокси? Это ваш?

Это не мой прокси, не представляю откуда он мог взяться

 

Я бы еще и DNS проверил. Насколько я понимаю, используется DNS роутера. Проверьте его настройки. Попробуйте поставить адрес DNS вручную (8.8.8.8) в свойствах протокола TCP/IP того адаптера, через который подключаетесь к сети.

Временно удалите/отключите все расширения браузера.

Это я делал, ситуация не меняется

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA358F8-BB38-4402-979F-A190FDFCFF89}: NameServer = 217.66.145.2 217.66.145.1

Это DNS вашего провайдера?

Нет это какой-то "левый" DNS

 

 

PS. Ко всем проблемам мата, кодировки, тряски и переворачивания добавилась еще одна проблема с https. На всех сайта с https появляется сообщение:

Ваше подключение не защищено

Злоумышленники могут пытаться похитить ваши данные с сайта e.mail.ru (например, пароли, сообщения или номера банковских карт). NET::ERR_CERT_AUTHORITY_INVALID
Автоматически отправлять в Google информацию о возможных проблемах безопасности.

Очень похоже на какой-то внедрившийся прокси..

Сообщение было изменено JMLabs: 19 Май 2016 - 12:24

[AndreyKa]

При этом в сети есть компьютер под управлением Win 8.1 который почему-то не заражается, что исключает версию заражения роутера или возникновения поддельного шлюза в локальной сети

Попробую угадать - на этом компьютере настройки TCP/IP прописаны вручную, а на других получаются автоматически.

[JMLabs]

 

При этом в сети есть компьютер под управлением Win 8.1 который почему-то не заражается, что исключает версию заражения роутера или возникновения поддельного шлюза в локальной сети

Попробую угадать - на этом компьютере настройки TCP/IP прописаны вручную, а на других получаются автоматически.

 

 

Не все так просто. Это рабочий ноутбук, он работает в разных сетях и потому там все параметры сети приходят автоматически. Беда в том что что-то встраивается в транспорт от сетевой карты до браузера и портит содержимое пакетов, вот еще пример скрипта, который встраивается:

 

<script type="text/javascript">
window.onload = function(){
document.body.setAttribute("style", "transform: rotate(180deg);");
 }
</script>

[Dmitry_rus]

Загрузка с внешнего носителя (LiveCD/LiveUSB) и запуск браузера. Если в нем то же самое - то ищите источник заразы в вашей сети...

[JMLabs]

Продолжаю борьбу с матюгающимся вирусом. Пока выигрывает он… Ситуация осложняется тем что он иногда затихает на день-другой и кажется, что все стало хорошо, но потом волна брани приходит снова. Чтобы хоть как-то систематизировать проблему, я разделил сеть на два сегмента и стал выводить в отдельный сегмент по одному компьютеру. В результате этой кропотливой работы я выделил 1 комп который матерится, будучи единственным в своем сегменте и при этом компы в другом сегменте не матерятся. Если этот карантинный комп загрузить с флешки, то мат исчезает. В результате думаю, что вирус сидит на этом компе и каким-то образом он умеет гадить всем соседям по сети. В аттаче приложил логи и скриншоты как все выглядит. В принципе читаемо, но глазу оскорбительно…

 

 

Прикрепленные файлы:

•  forum_drweb.rar   1,42Мб   4 Скачано раз
•  AM-VAIO_Alexander_260516_215400.part1.rar   5Мб   3 Скачано раз
•  AM-VAIO_Alexander_260516_215400.part2.rar   4,78Мб   3 Скачано раз
•  Снимок1.PNG   985,58К   1 Скачано раз
•  Снимок2.PNG   372,44К   4 Скачано раз
•  Снимок3.PNG   190,12К   2 Скачано раз
•  Снимок4.PNG   619,31К   1 Скачано раз
•  Снимок5.PNG   1,55Мб   1 Скачано раз

[Dmitry_rus]

"Карантинный комп" получает IP, DNS, шлюз по DHCP? Если прописать вручную - какая реакция?

[JMLabs]

"Карантинный комп" получает IP, DNS, шлюз по DHCP? Если прописать вручную - какая реакция?

Да по DHCP. Сейчас подошел чтобы проверить версию со статическими настройками, вирус спрятался - все страницы опять нормальные. Подожду волны, переставлю на статику.

PS во время "бранного настроения" делал ipconfig /all - все параметры верные, никаких подмен нет

[Dmitry_rus]

ipconfig - он такой ипконфиг... ))

На всякий случай (от админа):

netsh winsock reset

route -f

прописываем адреса вручную, перезагружаемся.

[JMLabs]

ipconfig - он такой ипконфиг... ))

На всякий случай (от админа):

netsh winsock reset

route -f

прописываем адреса вручную, перезагружаемся.

 

Прежде всего хотел спросить почему такой негатив к ipconfig? Неужели эта команда не дает объективной картины настроек?

Утром проснулся нецензурный вирус и я сделал все как посоветовали, netsh... route... статический IP... reboot - результата нет! все те же маты во всех браузерах и на любых страницах, включая новые, ни разу не смотренные.

Но замечено вот что: после установки статических IP и перезагрузки у сетевой карты в трее висит желтый треугольник и связи нет, захожу в настройки -  не прописан шлюз, просто пустые поля, прописываю, работает, перегружаю - опять обнуляется шлюз...

[JMLabs]

Специалисты отзовитесь! Пожалуйста, помогите!

[Dmitry_rus]

См. ЛС.

[JMLabs]

Обращение ко всем, кто читал эту тему и давал советы. Вероятно, я не смог донести до общества специалистов всей тяжести ситуации и, самое главное, того что мой уровень владения ПК существенно выше среднего. Я старательно выполнял ваши рекомендации, хотя большинство из их были просто копи-пастами из советов для нубов. В итоге я отформатировал HDD и откатил ноутбук к заводскому состоянию. Теперь невозможно будет выяснить что же это была за гениальная зараза, которую не знает ни один антивирус, которая не присутствует процессах, нигде в реестре не находится и при этом такой ноутбук с легкостью вешает любую локальную сеть и компы в ней, что лично проверял на работе и в местах бесплатного вайфая. И все хваленые энтерпрайз антивирусы и системы безопасности просто присутствуют как грозная табличка «осторожно злая собака» на открытых воротах. Мне было жалко очищать ноутбук, потому что у меня в руках была бомба, но вот только мне такая бомба не нужна, а для опытов было бы крайне полезно. Искренне надеюсь, что никого не постигнет тот ужас что терзал меня полгода.

В любом случае я очень признателен за ответы. С уважением…

[Victor_koly]

В итоге я отформатировал HDD и откатил ноутбук к заводскому состоянию.

 

А переустановить Винду не пробовали?

[Grigory Lisin]

Судя по логам вас взломали (с помощью csploit.org) и подменяли траффик

 

http://4pda.ru/forum/lofiversion/index.php?t650915.html

>Запуск эксплоитов, изменение настроек эксплоитов и payload, а также создание шелла на взломанной машине
>Создание tcp/udp пакетов
>MITM включает в себя:
>Замена текста и видео -- заменить свой собственный Контент в незашифрованном виде веб-страниц
>Инъекции JavaScript-кода -- добавить собственный JavaScript в незашифрованном виде веб-страниц.