Перейти к содержимому


Фото
- - - - -

При переходе по ссылке в IE открывается порно

браузер троян

  • Please log in to reply
63 ответов в этой теме

#1 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 21 Август 2012 - 16:41

Здравствуйте.

Есть компьютер с Windows XP и Internet Explorer 8.
Недавно появилась такая проблема.
Запускаю Internet Explorer 8, открывается начальная страница - Яндекс.
Если я щёлкаю по любой ссылке, то сначала открывается нужная страница, загружается полностью и затем вместо этой страницы открывается страница неприличного содержания ... или разные сайты вроде ...
Если я вручную в адресной строке ввожу какой-либо адрес (mail.ru, rambler.ru), то страница нормально открывается.
Причём такое происходит только под одной учётной записью пользователя и в Internet Explorer'е.
В других браузерах (Opera, Chrome, Mozilla) и под другими учётными записями такая страница не открывается.
Антивирус - AVG.

Эта же проблема возникла ещё на трёх компьютерах. На них установлен Eset NOD32 4.2 .

Что было предпринято.

Удалил все временные файлы из Temp Виндоуса и учётной записи.
Удалил временные файлы Интернета этого пользователя.
Просмотрел и удалил странные файлы в каталоге учётной записи.
В реестре в стандартных местах ничего странного не нашёл.
Сканировал компьютеры и штатными антивирусами и AVZ.
Восстанавливал систему.
Переставлял Internet Explorer.
Сбрасывал настройки и отключал надстройки в IE.
Удалил все куки.
В hosts ничего лишнего нет.

Удалил полностью каталог учётной записи на компьютере. Зашёл снова. Виндоус настроил всё по умолчанию. Сразу открываю IE и после нажатия по третьей ссылки выскочила опять эта зараза.

Пока ничего не помогло.

Ссылка на лог из AVZ:
http://rghost.ru/download/39795497/91f26e14ac69a88f29d1234c75aec7f00098d9fc/virusinfo_syscure.zip

Ссылка на лог из UVS:
http://rghost.ru/download/39795506/400f8775d4b7802405aa6155cfa11a381007a045/BUDILKINA_2012-08-15_14-28-48.rar

Отчёт из Malwarebytes Anti-Malware Free:
http://rghost.ru/download/39799657/82eff8274b78d8833eaf98a16fe07c124d37a7d7/mbam-log-2012-08-15%20(18-15-30).txt

Логи из OLDTimer (http://safezone.cc/forum/showthread.php?t=12019):
http://rghost.ru/download/private/39831981/9cb54d750bc4ba99fdfb9cc02e6de997/8a4627fff24b42586174e134fc57f251974cf6b8/OTL.Txt

http://rghost.ru/download/private/39831984/99a672577a5d02b60b387aa7baab3d41/1da4111ce1612162ff2f003aecb5ac281f47682f/Extras.Txt

Отчёты по инструкции с этого сайта прикреплены.

Прикрепленные файлы:


Сообщение было изменено Borka: 21 Август 2012 - 16:49
убраны линки


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 687 Сообщений:

Отправлено 21 Август 2012 - 16:41

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Август 2012 - 16:46

C:\WINDOWS\system32\logon.scr в вирлаб.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 21 Август 2012 - 16:54

C:\WINDOWS\system32\logon.scr в вирлаб.

Отправил.

#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Август 2012 - 16:55

C:\WINDOWS\system32\logon.scr в вирлаб.

Отправил.


Номер тикета?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 21 Август 2012 - 17:03

drweb.com #3582489

#7 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 21 Август 2012 - 17:08

Сделайте экспорт ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
С уважением,
Борис А. Чертенко aka Borka.

#8 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 21 Август 2012 - 17:12

Сделал.

Прикрепленные файлы:



#9 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 340 Сообщений:

Отправлено 21 Август 2012 - 17:22

Хелперы вот на это обратите внимание

IE - HKU\S-1-5-21-1563617042-3015756089-115896913-3672\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FB 89 71 F5 55 45 CD 01 [binary data]

[2011.05.31 08:41:48 | 000,000,344 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job - на VТ

[2011.05.30 13:15:55 | 000,000,802 | ---- | M] () -- C:\WINDOWS\Tasks\budilkina.job - это ваше?

#10 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 22 Август 2012 - 09:05

Хелперы вот на это обратите внимание

IE - HKU\S-1-5-21-1563617042-3015756089-115896913-3672\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FB 89 71 F5 55 45 CD 01 [binary data]

[2011.05.31 08:41:48 | 000,000,344 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job - на VТ

[2011.05.30 13:15:55 | 000,000,802 | ---- | M] () -- C:\WINDOWS\Tasks\budilkina.job - это ваше?


В реестре сменил параметр StartPage Redirect на Яндекс.

Удалил все эти задания.

Перезагрузил.
Всё равно открывается нужное окно и затем в нём идёт загрузка другой страницы или порнухи.

#11 SHIELD

SHIELD

    Member

  • Posters
  • 381 Сообщений:

Отправлено 22 Август 2012 - 10:35

Если есть такой же ПК с такой же ОС,
то можно сравнить папки Windows, из отличившихся файлов,
выбрать подозрительные и отправить их в VMS Dr.WEB.

#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 22 Август 2012 - 11:41

Если есть такой же ПК с такой же ОС,
то можно сравнить папки Windows, из отличившихся файлов,
выбрать подозрительные и отправить их в VMS Dr.WEB.


Не эффективно.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Август 2012 - 11:58

Отравление DNS-кэша? :huh:
С уважением,
Борис А. Чертенко aka Borka.

#14 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 22 Август 2012 - 12:49

Если есть такой же ПК с такой же ОС,
то можно сравнить папки Windows, из отличившихся файлов,
выбрать подозрительные и отправить их в VMS Dr.WEB.

Не эффективно.

Я только что попробовал. Кое-чего поудалял. Ничего не помогло.

#15 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 22 Август 2012 - 12:51

Отравление DNS-кэша? :huh:

Не понял.
Где это посмотреть?

#16 fetch

fetch

    Member

  • Posters
  • 324 Сообщений:

Отправлено 22 Август 2012 - 13:05

Я только что попробовал. Кое-чего поудалял. Ничего не помогло.

Прежде чем удалять, лучше сначала все-таки разобраться, что это, а то так не долго и совсем убить систему ;)

#17 Злюк Сковородкин

Злюк Сковородкин

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 22 Август 2012 - 13:09

Я только что попробовал. Кое-чего поудалял. Ничего не помогло.

Прежде чем удалять, лучше сначала все-таки разобраться, что это, а то так не долго и совсем убить систему ;)

Я же не всё подряд удаляю. Я стараюсь удалять то, что явно не повредит работоспособности системы.
Вот из SYSTEM32 я ничего не удалял, хотя этот каталог как раз и является обычно сборщиком вирусов.

Переставить на одном компьютере систему - не проблема. И таких компьютеров уже 4.
Дело в другом: всё-таки хочется найти этот вирус, а не переставлять систему после любой вирусни.

#18 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Август 2012 - 13:46

Отравление DNS-кэша? :huh:

Не понял.
Где это посмотреть?

Это смотрится у провайдера. Да еще если комп со схожими симптомами не один...
С уважением,
Борис А. Чертенко aka Borka.

#19 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 22 Август 2012 - 13:48

А если попробовать сравнить результаты ресолвинга имени на проблемной и чистой машине?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#20 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Август 2012 - 13:49

А если попробовать сравнить результаты ресолвинга имени на проблемной и чистой машине?

Вы сразу инструкцию пишите. ;)
С уважением,
Борис А. Чертенко aka Borka.



Also tagged with one or more of these keywords: браузер, троян

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых