Игры
 Видео
 Музыка
 Графика
 Интересно
 Программы
 Библиотека
 Видеоуроки
 Кулинария
 Разное




zyzy
Добавил новостей Статьи: 9539
Написал комментариев Мысли: 0
ivashka
Добавил новостей Статьи: 8490
Написал комментариев Мысли: 0
didl3
Добавил новостей Статьи: 8432
Написал комментариев Мысли: 0
Kioka83
Добавил новостей Статьи: 5335
Написал комментариев Мысли: 0
trigall
Добавил новостей Статьи: 4604
Написал комментариев Мысли: 0
colt
Добавил новостей Статьи: 3827
Написал комментариев Мысли: 0
NIKIG
Добавил новостей Статьи: 2399
Написал комментариев Мысли: 0
Оцените наш сайт
Всего ответов: 17
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Форум » Общение » Антивирусная безопасность » Интересный зловред с переадресацией (поиск и лечение)
Интересный зловред с переадресацией
blogzДата: Пятница, 14.10.2016, 00:14 | Сообщение # 1
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
И так перейду к описанию проблемы и её решению. Пользуюсь различными программами, много программ устанавливаю и тестирую. Поэтому недавно возникла нестандартная ситуация.
На прошлой неделе появились у меня уведомления от НОД 32 о блокировании некоего вредоносного сайта non-block.net. Скриншот ниже

Если бы сообщение было один раз, то я бы не обратил внимание. Но Нод32 начал оповещать очень часто, с волновым эффектом по 10-12 сообщений в минуту.
При чём могло быть долгое затишье, а потом куча сообщений и всё происходит при закрытом браузере. Просканировал Нодом весь комп заразы нет, но окна остались и постоянно вылазили с нестандартной переодичностью, для начала очистил (удалил) всё из C:\Windows\temp во избежание стартования различных левых батников и ексешников. И перегрузил компьютер.

После перезагрузки окна с предупреждением от антивируса НОД32 по прежнему появлялись.

Решил просканировать дополнительными другими антивирусными решениями, теми программами которые были под рукой.
1. Просканировал утилитой Dr.Web CureIt - результат всё чисто.
2. Просканировал Malwarebytes Anti-Malware Premium - результат на компе чисто.
3. Просканировал Hitman Pro - результат на компе чисто.
4. Просканировал AdwCleaner - результат на компе чисто.
5. Просканировал Чистилка - результат на компе чисто.
6. Просканировал Loaris Trojan Remover - результат на компе чисто.
7. Просканировал AVZ - результат на компе чисто.
8. Просканировал уже ради интереса RogueKiller - результат сразу показался.

Ниже два скриншота с результатами обнаружения. Сделал их превьюшками поскольку не влазят полностью по ширине форума.Для подробного просмотра необходимо просто кликнуть по ним.




Ну сразу обрадовался, прога починила реестр. Перезагрузил комп и провёл повторное сканирование RogueKiller - показало что всё чисто, но сообщения от Нода32 начали появляться снова.
Решил удалить НОД 32 и проверить систему другими антивирусными программами.
Установил Авиру и обновил до последних баз - результат поиска нулевой.
Снёс Авиру поставил Аваст Интернет Секьюрити, обновил до последних баз - результат поиска нулевой.
Удалил Аваст и поставил Касперского Интернет Секьюрити последнюю версию, обновил до последних баз - результат поиска после проверки нулевой, никаких сообщений не всплывало о блокировке вредоносных адресов.
Установил обратно НОД32 и опять антивирус начал блокировать запросы на левый сайт.
В конце концов решил проверить вручную сам реестр по поиску запроса на сайт non-block.net

И вот итог на следующем скрине. Превьюшка ниже, кликните для увеличения.



Ну думаю всё проблема решена. Подправил реестр перегружаю комп.
И что вы думаете - окна опять появляются. angry
Проверяю по реестру вручную поиск снова на запрос названия сайта. Результат нулевой. Решил поискать по всем параметрам в реестре недалеко от прошлого места.
И вуаля. Прописалась эта гадость в реестре по хитрому ещё в SavedLegacySettings и DefaultConnectionSettings.



Подправил реестр ручками и здесь. Перезагрузил комп. В данное время мой антивирус НОД32 спокоен и сообщения больше не появляются.

Но самое интересное в другом. Я отправил письма со скриншотами и подробным описанием ситуации во все антивирусные лаборатории, адреса которых я нашёл и в обратную связь через официальные сайты. Откликнулись из всех вендоров только трое. Вы готовы услышать их названия, как говорит Задорнов?

Первое письмо я получил от разработчика программы Чистилка, который поблагодарил за информацию и пообещал усовершенствовать функционал у своей программы.

Второе письмо пришло от Доктора Веба, которому я описал в чём проблема, что Dr.Web CureIt не видит вредоносных изменений в реестре - их ответ на моё письмо убил!!!!!!!!!!!
Цитирую дословно их ответ скриншотом. smile



Третье письмо я получил от техподдержки Нод32. Скриншот с превьюшкой ниже.



Разработчики порадовали, уделили внимание и пообещали на будущее расширить функционал. Буду надеяться что так оно и будет. wink

От канторы Касперского я так и не получил ответа. Очень удивил тот факт, что относительно реестра новый эвристик для AutoConfigURL был описан на форуме касперского ещё в 2013 году.
Вот даю ссылку на статью https://forum.kaspersky.com/index.php?showtopic=257856
Не могу понять почему последние версии Касперского не смогли увидеть изменения в реестре. Из за такого отношения я и не пользуюсь касперским уже более 6 лет, ибо антивирус становится с каждым годом всё хуже и дырявые хотя и пиарят его что он самый лучший на каждом шагу.
Возможно вся вышеизложенная информация тоже будет полезна нашим пользователям.
Всем желаю иметь чистый комп и чтоб меньше вам попадалось различных зловредов.
 
Федя16Дата: Понедельник, 31.10.2016, 20:51 | Сообщение # 2
Группа: Пользователи
Сообщений: 3
Статус: Оффлайн
blogz, спасибо за статью, такая же беда у меня, чем только не сканировал, тольку ноль, и не пойму, откуда беда пришла.
При первом запуске браузера вылазит окно, и не важно на каком ты сайте, название меняется. Окно белое, возможно Adguard расширение рекламу заблокировало....
http://s013.radikal.ru/i323/1610/8e/aa011f78ef2d.jpg
так же при переходе по ссылкам, перенаправляет на левые сайты или не дает перейти.
прочитал твою статью, буду пробовать вылечиться

Добавлено (31.10.2016, 20:51)
---------------------------------------------
И надо было отправить письмо еще к программе AdwCleaner
https://toolslib.net/
Программа серьезная, часто обновляется.
------------------------------------------------
Скриншот сканирования системы.
Вин свежая, софта мимнимум.
защитник виндовс включен
http://s016.radikal.ru/i335/1610/20/344a2dbdd5c9.jpg


Сообщение отредактировал Федя16 - Понедельник, 31.10.2016, 20:56
 
blogzДата: Вторник, 01.11.2016, 22:18 | Сообщение # 3
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Сейчас всякую гадость по хитрому делают, чтоб лезла всегда в разные места на компе и делала дубликаты в автозагрузку.
Рекомендую сразу все папки темп очистить: например C:\Windows\temp - удалить всё
у вас видно на втором скриншоте вторая строчка, что есть файл - ALSysIO.sys.
Некоторые вредоносные программы могут маскировать себя как ALSysIO.sys. Таким образом, вы должны проверить файл ALSysIO.sys на вашем ПК. Надо пользоваться разными инструментами.
Хорошо если вы просмотрите нет ли чужих программ и файлов в автозагрузке с помощью программы CCleaner. Можно проверить ещё систему Dr.Web CureIt!
Я частенько общаюсь с разработчиком программы Чистилка (это русскоязычная программа наподобие AdwCleaner), автор обещал добавить мои наработки в свою программу. Вот у меня есть его последняя версия, залил на бесплатный хостинг Чистилка 2.16.690 Portable
Можно поискать зловредов и в самом реестре ОС. В последнее время зловреды делают изменения именно в самом реестре ОС, и фактически исполняемых екзешников в системе нет.
Я не знаю какая у вас операционная система, и ваш уровень компьютерных знаний. Если не сможете сами решить вопрос, могу помочь вам через удалённый доступ.
Напишите как у вас будут продвигаться дела.
 
Федя16Дата: Вторник, 01.11.2016, 23:34 | Сообщение # 4
Группа: Пользователи
Сообщений: 3
Статус: Оффлайн
blogz, спасибо за ответ и предложение.
Чистилкой пользуюсь, скачал с оф сайта, она абсолютно ничего не находит.
Dr.Web CureIt! и Dr.Web LiveDisk так же
http://s03.radikal.ru/i176/1611/f5/6f45344d5813.jpg
http://s019.radikal.ru/i640/1611/9a/abc71f45e1b6.jpg
Для автозапуска использую Autoruns
Доступно только для пользователей
он более информативен...но многих пунктов я не знаю которые там прописаны, отключаю те что знаю и мне не нужны.
В реестре не разбираюсь, он для меня темный лес, изменить значение могу, но не более того,
ОС WIN 8.1 x86
так же стоит WinPatrol, он ничего подозрительного не информировал.

Удалил с компа все папки Temp, за исключением файлов в них заблокированных.
На выходных если не получиться, то можно связаться по TeamViewer.

Кстати, у меня есть подозрение что этот файлик есть зловред, он появился на моих глазах, хотя я его не ставил. Антивирусы все молчат
http://www85.zippyshare.com/v/wguFkamV/file.html
https://goo.gl/nfXH0v
вирустотал, дополнительные сведения, этот файл имеет много имен....


Сообщение отредактировал Федя16 - Вторник, 01.11.2016, 23:43
 
blogzДата: Среда, 02.11.2016, 08:37 | Сообщение # 5
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
По скринам вижу Dr.Web CureIt! ругается на hosts, посмотрите ваш файл C:\Windows\System32\drivers\etc\hosts через блокнот, может там есть что то лишнее из записей.
его расположение может быть переопределено в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath, в котором содержится путь к папке.
Ещё есть папка Temp в профиле пользователя, бывает что там тоже прописывается гадость.
Сейчас у меня на работе немного завал, свободен где-то после 20-00. Если есть у вас есть скайп добавьте меня Доступно только для пользователей
Попробуем решить вашу проблему.
 
Федя16Дата: Пятница, 04.11.2016, 13:50 | Сообщение # 6
Группа: Пользователи
Сообщений: 3
Статус: Оффлайн
blogz, файл hosts я сам менял. без этого активация у проги слетает. Папку Temp я чищу регулярно.
Мне не к спеху, TeamViewer есть, можем в любое время вечером или на выходных.
Скайп есть, можно и через аську Доступно только для пользователей 
Эта гадость вылазит только при первом запуске браузера после перезагруза, и то не всегда.
И ссылки перенаправляет, но не всегда...

Добавлено (04.11.2016, 13:50)
---------------------------------------------
blogz, зловред никуда не делся, повторное сканирование ничего не дает sad
все концы ведут на facebook.

Сообщение отредактировал Федя16 - Среда, 02.11.2016, 19:02
 
blogzДата: Суббота, 05.11.2016, 04:26 | Сообщение # 7
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Попробую покумекать как и где можно ещё найти эту гадость.
 
TarkettДата: Воскресенье, 06.11.2016, 12:50 | Сообщение # 8
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, ...с другой учетки вошел), это я )

Переставил вин с бэкапа, сделал снимок реестра, поставил нод обратно и последнюю версию браузера. Пока все тихо, перегружал, не появляется.
Так же через файл hosts заблокировал Facebook/

Добавлено (06.11.2016, 12:50)
---------------------------------------------
Опять вернулся  angry , вчера все было тихо.
Утром жена со своего браузера заходила на однокласники, ютюб и еще пару сайтов, ее браузер не заражен (портативка slimjet)
Нод даже не пискнул получается((((


Сообщение отредактировал Tarkett - Суббота, 05.11.2016, 07:19
 
blogzДата: Воскресенье, 06.11.2016, 15:00 | Сообщение # 9
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Нод может и не увидеть в системном реестре изменения. Не исключаю что идёт  XSS-атака или ClickJacking. Как вариант можно попробовать NoScript - дополнение к Firefox Mozilla или NotScripts — аналог NoScript для Google Chrome.
 
TarkettДата: Вторник, 08.11.2016, 01:39 | Сообщение # 10
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, открыл тему на virusinfo
http://virusinfo.info/showthread.php?t=205580

Добавлено (08.11.2016, 01:39)
---------------------------------------------
blogz, Что скажешь....я фиг знает как роутер перепрошить  wacko

 
blogzДата: Вторник, 08.11.2016, 20:35 | Сообщение # 11
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Да это не перепрошить надо, я перенастроить помогу.
Это не сложно, главное производитель и модель роутера какая?
 
TarkettДата: Вторник, 08.11.2016, 21:22 | Сообщение # 12
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, на выходных попробую, на зеленой точке еще информацию покапаю по его настройке, вдруг там нюансы есть какие....
 
blogzДата: Вторник, 08.11.2016, 22:24 | Сообщение # 13
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Пароль попробуй сменить на новый и можно метод шифрования поставить другой.
 
TarkettДата: Суббота, 12.11.2016, 15:39 | Сообщение # 14
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, все оказалось куда проще, расширение в браузере Radio Record Online
Само обновилось, а в новой версии встроена эта хрень.
Походу NOD или сам Гугл его отключил, было написано что это расширение опасно. И проблема исчезла. Я просто ну никак не мог на него подумать, ведь я им пользуюсь очень давно

PS извини за беспокойство, просто писец подкрался откуда не ждал....
Зато НОД себе поставил smile и вин переставил.
Кстати, как в том репаке через инсталлятор поставить Смарт секюрити?



Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 15:52
 
blogzДата: Суббота, 12.11.2016, 17:36 | Сообщение # 15
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Там просто два антивируса: Nod Antivirus и ESET Smart Security в комплекте, они небольшого размера, я ж кидал через rghost а там до 100мб файлы тока идут.
Могу тебе другой репак кинуть, из него устанавливается в тихом режиме только ESET Smart Security, разрядность с самой системы берётся. Запустишь и просто подождать надо будет.
 
TarkettДата: Суббота, 12.11.2016, 21:27 | Сообщение # 16
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, Другой, это репак кролика, я его знаю, мне этот репак интересен, кинь ссылку откуда качал?
eset nod32 antivirus / smart security 8.0.319.1 repack by andreyonohov
Вроде так, но в интернете его найти не могу(


Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 22:01
 
blogzДата: Суббота, 12.11.2016, 22:00 | Сообщение # 17
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Тот который я залил на Яндекс диск к Кролику не имеет никакого отношения. Наведи на установочный файл курсор и ты увидишь название.


Это репак от от Andreyonohov, я вытянул его из какого-то сборника WPI, уже и не помню как тот сборник программ назывался. Из всех программ в сборке мне только антивирус и понравился, вот и оставил его отдельно себе в инсталяторах.
В общем, правильно говоря это два репака от Andreyonohov и первый который я раньше кидал и второй  автор один и тот же.  Второй что яндекс диске более свежий относительно восьмой версии, и ставится только ESET Smart Security.
 
TarkettДата: Суббота, 12.11.2016, 22:19 | Сообщение # 18
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, поздно, я ему уже в личку на nnmclub написал)
Спасибо, тоже скачаю на всякий случай...просто такая разница в весе
там 4 программы а тут две.
 
blogzДата: Суббота, 12.11.2016, 22:23 | Сообщение # 19
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Ну не я собирал инсталятор)), скорее всего во втором варианте уже включены базы с более новыми обновлениями.
 
TarkettДата: Суббота, 12.11.2016, 22:30 | Сообщение # 20
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
blogz, а 9 версия нода чем хуже 8, ты вроде говорил, да я уже забыл)
вот что нашел


Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 22:33
 
blogzДата: Суббота, 12.11.2016, 22:37 | Сообщение # 21
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
Девятая глюканутая немного, я ставил мне не понравилась, да и интерфейс у 9-й испортили, кстати уже десятая есть русская. Пока правда ещё не тестил 10-ю, времени всё нет.
 
TarkettДата: Воскресенье, 13.11.2016, 00:11 | Сообщение # 22
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
Ша скачаю этот WPI. гляну чей там репак нода
От того же репакера. только новее
Держи 8 и 9 версии

Если что нужно из этого WPI, то могу скинуть.


Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 23:34
 
Форум » Общение » Антивирусная безопасность » Интересный зловред с переадресацией (поиск и лечение)
  • Страница 1 из 1
  • 1
Поиск:

Design powered by Xemera™ Copyright © 2009-2024


Гость


Имя: Гость
IP: 18.233.223.189
Ты здесь: -й день
Добавить новость
Читать ЛС ()
Мой профиль
Выход


   Всего: 176
   Админ: 1
   Модераторы: 0
   Журналисты: 12
   Проверенные: 5
   Пользователи: 158
   Парней: 142
   Девушек: 34
Бесплатный хостинг uCoz
Xemera.At.Ua - информационный портал! Все ссылки на файлы, указанные на сайте взяты из открытых источников интернета и предоставлены пользователями нашего сайта исключительно в ознакомительных целях.
Если вы являетесь правообладателем какого либо материала и не желаете его свободного распространения, или считаете, что какой-либо из материалов нарушает Ваши авторские права - свяжитесь с Администрацией.
Владельцы и создатели данного сайта не несут ответственность за использование и содержание ссылок и информации, представленных на этом сайте.
Сайт оптимизирован для просмотра с разрешением 1024x768, 1280x800, 1280x1024 и 1600x1200 браузером FireFox или Opera