|
|
|
|
Интересный зловред с переадресацией
| |
blogz | Дата: Пятница, 14.10.2016, 00:14 | Сообщение # 1 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| И так перейду к описанию проблемы и её решению. Пользуюсь различными программами, много программ устанавливаю и тестирую. Поэтому недавно возникла нестандартная ситуация. На прошлой неделе появились у меня уведомления от НОД 32 о блокировании некоего вредоносного сайта non-block.net. Скриншот ниже
Если бы сообщение было один раз, то я бы не обратил внимание. Но Нод32 начал оповещать очень часто, с волновым эффектом по 10-12 сообщений в минуту. При чём могло быть долгое затишье, а потом куча сообщений и всё происходит при закрытом браузере. Просканировал Нодом весь комп заразы нет, но окна остались и постоянно вылазили с нестандартной переодичностью, для начала очистил (удалил) всё из C:\Windows\temp во избежание стартования различных левых батников и ексешников. И перегрузил компьютер.
После перезагрузки окна с предупреждением от антивируса НОД32 по прежнему появлялись.
Решил просканировать дополнительными другими антивирусными решениями, теми программами которые были под рукой. 1. Просканировал утилитой Dr.Web CureIt - результат всё чисто. 2. Просканировал Malwarebytes Anti-Malware Premium - результат на компе чисто. 3. Просканировал Hitman Pro - результат на компе чисто. 4. Просканировал AdwCleaner - результат на компе чисто. 5. Просканировал Чистилка - результат на компе чисто. 6. Просканировал Loaris Trojan Remover - результат на компе чисто. 7. Просканировал AVZ - результат на компе чисто. 8. Просканировал уже ради интереса RogueKiller - результат сразу показался.
Ниже два скриншота с результатами обнаружения. Сделал их превьюшками поскольку не влазят полностью по ширине форума.Для подробного просмотра необходимо просто кликнуть по ним.
Ну сразу обрадовался, прога починила реестр. Перезагрузил комп и провёл повторное сканирование RogueKiller - показало что всё чисто, но сообщения от Нода32 начали появляться снова. Решил удалить НОД 32 и проверить систему другими антивирусными программами. Установил Авиру и обновил до последних баз - результат поиска нулевой. Снёс Авиру поставил Аваст Интернет Секьюрити, обновил до последних баз - результат поиска нулевой. Удалил Аваст и поставил Касперского Интернет Секьюрити последнюю версию, обновил до последних баз - результат поиска после проверки нулевой, никаких сообщений не всплывало о блокировке вредоносных адресов. Установил обратно НОД32 и опять антивирус начал блокировать запросы на левый сайт. В конце концов решил проверить вручную сам реестр по поиску запроса на сайт non-block.net
И вот итог на следующем скрине. Превьюшка ниже, кликните для увеличения.
Ну думаю всё проблема решена. Подправил реестр перегружаю комп. И что вы думаете - окна опять появляются. Проверяю по реестру вручную поиск снова на запрос названия сайта. Результат нулевой. Решил поискать по всем параметрам в реестре недалеко от прошлого места. И вуаля. Прописалась эта гадость в реестре по хитрому ещё в SavedLegacySettings и DefaultConnectionSettings.
Подправил реестр ручками и здесь. Перезагрузил комп. В данное время мой антивирус НОД32 спокоен и сообщения больше не появляются.
Но самое интересное в другом. Я отправил письма со скриншотами и подробным описанием ситуации во все антивирусные лаборатории, адреса которых я нашёл и в обратную связь через официальные сайты. Откликнулись из всех вендоров только трое. Вы готовы услышать их названия, как говорит Задорнов?
Первое письмо я получил от разработчика программы Чистилка, который поблагодарил за информацию и пообещал усовершенствовать функционал у своей программы.
Второе письмо пришло от Доктора Веба, которому я описал в чём проблема, что Dr.Web CureIt не видит вредоносных изменений в реестре - их ответ на моё письмо убил!!!!!!!!!!! Цитирую дословно их ответ скриншотом.
Третье письмо я получил от техподдержки Нод32. Скриншот с превьюшкой ниже.
Разработчики порадовали, уделили внимание и пообещали на будущее расширить функционал. Буду надеяться что так оно и будет.
От канторы Касперского я так и не получил ответа. Очень удивил тот факт, что относительно реестра новый эвристик для AutoConfigURL был описан на форуме касперского ещё в 2013 году. Вот даю ссылку на статью https://forum.kaspersky.com/index.php?showtopic=257856 Не могу понять почему последние версии Касперского не смогли увидеть изменения в реестре. Из за такого отношения я и не пользуюсь касперским уже более 6 лет, ибо антивирус становится с каждым годом всё хуже и дырявые хотя и пиарят его что он самый лучший на каждом шагу. Возможно вся вышеизложенная информация тоже будет полезна нашим пользователям. Всем желаю иметь чистый комп и чтоб меньше вам попадалось различных зловредов.
|
|
| |
Федя16 | Дата: Понедельник, 31.10.2016, 20:51 | Сообщение # 2 |
Группа: Пользователи
Сообщений: 3
Статус: Оффлайн
| blogz, спасибо за статью, такая же беда у меня, чем только не сканировал, тольку ноль, и не пойму, откуда беда пришла. При первом запуске браузера вылазит окно, и не важно на каком ты сайте, название меняется. Окно белое, возможно Adguard расширение рекламу заблокировало.... http://s013.radikal.ru/i323/1610/8e/aa011f78ef2d.jpg так же при переходе по ссылкам, перенаправляет на левые сайты или не дает перейти. прочитал твою статью, буду пробовать вылечиться
Добавлено (31.10.2016, 20:51) --------------------------------------------- И надо было отправить письмо еще к программе AdwCleaner https://toolslib.net/ Программа серьезная, часто обновляется. ------------------------------------------------ Скриншот сканирования системы. Вин свежая, софта мимнимум. защитник виндовс включен http://s016.radikal.ru/i335/1610/20/344a2dbdd5c9.jpg
Сообщение отредактировал Федя16 - Понедельник, 31.10.2016, 20:56 |
|
| |
blogz | Дата: Вторник, 01.11.2016, 22:18 | Сообщение # 3 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Сейчас всякую гадость по хитрому делают, чтоб лезла всегда в разные места на компе и делала дубликаты в автозагрузку. Рекомендую сразу все папки темп очистить: например C:\Windows\temp - удалить всё у вас видно на втором скриншоте вторая строчка, что есть файл - ALSysIO.sys. Некоторые вредоносные программы могут маскировать себя как ALSysIO.sys. Таким образом, вы должны проверить файл ALSysIO.sys на вашем ПК. Надо пользоваться разными инструментами. Хорошо если вы просмотрите нет ли чужих программ и файлов в автозагрузке с помощью программы CCleaner. Можно проверить ещё систему Dr.Web CureIt! Я частенько общаюсь с разработчиком программы Чистилка (это русскоязычная программа наподобие AdwCleaner), автор обещал добавить мои наработки в свою программу. Вот у меня есть его последняя версия, залил на бесплатный хостинг Чистилка 2.16.690 Portable Можно поискать зловредов и в самом реестре ОС. В последнее время зловреды делают изменения именно в самом реестре ОС, и фактически исполняемых екзешников в системе нет. Я не знаю какая у вас операционная система, и ваш уровень компьютерных знаний. Если не сможете сами решить вопрос, могу помочь вам через удалённый доступ. Напишите как у вас будут продвигаться дела.
|
|
| |
Федя16 | Дата: Вторник, 01.11.2016, 23:34 | Сообщение # 4 |
Группа: Пользователи
Сообщений: 3
Статус: Оффлайн
| blogz, спасибо за ответ и предложение. Чистилкой пользуюсь, скачал с оф сайта, она абсолютно ничего не находит. Dr.Web CureIt! и Dr.Web LiveDisk так же http://s03.radikal.ru/i176/1611/f5/6f45344d5813.jpg http://s019.radikal.ru/i640/1611/9a/abc71f45e1b6.jpg Для автозапуска использую Autoruns Доступно только для пользователей он более информативен...но многих пунктов я не знаю которые там прописаны, отключаю те что знаю и мне не нужны. В реестре не разбираюсь, он для меня темный лес, изменить значение могу, но не более того, ОС WIN 8.1 x86 так же стоит WinPatrol, он ничего подозрительного не информировал.
Удалил с компа все папки Temp, за исключением файлов в них заблокированных. На выходных если не получиться, то можно связаться по TeamViewer.
Кстати, у меня есть подозрение что этот файлик есть зловред, он появился на моих глазах, хотя я его не ставил. Антивирусы все молчат http://www85.zippyshare.com/v/wguFkamV/file.html https://goo.gl/nfXH0v вирустотал, дополнительные сведения, этот файл имеет много имен....
Сообщение отредактировал Федя16 - Вторник, 01.11.2016, 23:43 |
|
| |
blogz | Дата: Среда, 02.11.2016, 08:37 | Сообщение # 5 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| По скринам вижу Dr.Web CureIt! ругается на hosts, посмотрите ваш файл C:\Windows\System32\drivers\etc\hosts через блокнот, может там есть что то лишнее из записей. его расположение может быть переопределено в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath, в котором содержится путь к папке. Ещё есть папка Temp в профиле пользователя, бывает что там тоже прописывается гадость. Сейчас у меня на работе немного завал, свободен где-то после 20-00. Если есть у вас есть скайп добавьте меня Доступно только для пользователей Попробуем решить вашу проблему.
|
|
| |
Федя16 | Дата: Пятница, 04.11.2016, 13:50 | Сообщение # 6 |
Группа: Пользователи
Сообщений: 3
Статус: Оффлайн
| blogz, файл hosts я сам менял. без этого активация у проги слетает. Папку Temp я чищу регулярно. Мне не к спеху, TeamViewer есть, можем в любое время вечером или на выходных. Скайп есть, можно и через аську Доступно только для пользователей Эта гадость вылазит только при первом запуске браузера после перезагруза, и то не всегда. И ссылки перенаправляет, но не всегда...Добавлено (04.11.2016, 13:50) --------------------------------------------- blogz, зловред никуда не делся, повторное сканирование ничего не дает все концы ведут на facebook.
Сообщение отредактировал Федя16 - Среда, 02.11.2016, 19:02 |
|
| |
blogz | Дата: Суббота, 05.11.2016, 04:26 | Сообщение # 7 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Попробую покумекать как и где можно ещё найти эту гадость.
|
|
| |
Tarkett | Дата: Воскресенье, 06.11.2016, 12:50 | Сообщение # 8 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, ...с другой учетки вошел), это я )
Переставил вин с бэкапа, сделал снимок реестра, поставил нод обратно и последнюю версию браузера. Пока все тихо, перегружал, не появляется. Так же через файл hosts заблокировал Facebook/
Добавлено (06.11.2016, 12:50) --------------------------------------------- Опять вернулся , вчера все было тихо. Утром жена со своего браузера заходила на однокласники, ютюб и еще пару сайтов, ее браузер не заражен (портативка slimjet) Нод даже не пискнул получается((((
Сообщение отредактировал Tarkett - Суббота, 05.11.2016, 07:19 |
|
| |
blogz | Дата: Воскресенье, 06.11.2016, 15:00 | Сообщение # 9 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Нод может и не увидеть в системном реестре изменения. Не исключаю что идёт XSS-атака или ClickJacking. Как вариант можно попробовать NoScript - дополнение к Firefox Mozilla или NotScripts — аналог NoScript для Google Chrome.
|
|
| |
Tarkett | Дата: Вторник, 08.11.2016, 01:39 | Сообщение # 10 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, открыл тему на virusinfo http://virusinfo.info/showthread.php?t=205580Добавлено (08.11.2016, 01:39) --------------------------------------------- blogz, Что скажешь....я фиг знает как роутер перепрошить
|
|
| |
blogz | Дата: Вторник, 08.11.2016, 20:35 | Сообщение # 11 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Да это не перепрошить надо, я перенастроить помогу. Это не сложно, главное производитель и модель роутера какая?
|
|
| |
Tarkett | Дата: Вторник, 08.11.2016, 21:22 | Сообщение # 12 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, на выходных попробую, на зеленой точке еще информацию покапаю по его настройке, вдруг там нюансы есть какие....
|
|
| |
blogz | Дата: Вторник, 08.11.2016, 22:24 | Сообщение # 13 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Пароль попробуй сменить на новый и можно метод шифрования поставить другой.
|
|
| |
Tarkett | Дата: Суббота, 12.11.2016, 15:39 | Сообщение # 14 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, все оказалось куда проще, расширение в браузере Radio Record Online Само обновилось, а в новой версии встроена эта хрень. Походу NOD или сам Гугл его отключил, было написано что это расширение опасно. И проблема исчезла. Я просто ну никак не мог на него подумать, ведь я им пользуюсь очень давно
PS извини за беспокойство, просто писец подкрался откуда не ждал.... Зато НОД себе поставил и вин переставил. Кстати, как в том репаке через инсталлятор поставить Смарт секюрити?
Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 15:52 |
|
| |
blogz | Дата: Суббота, 12.11.2016, 17:36 | Сообщение # 15 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Там просто два антивируса: Nod Antivirus и ESET Smart Security в комплекте, они небольшого размера, я ж кидал через rghost а там до 100мб файлы тока идут. Могу тебе другой репак кинуть, из него устанавливается в тихом режиме только ESET Smart Security, разрядность с самой системы берётся. Запустишь и просто подождать надо будет.
|
|
| |
Tarkett | Дата: Суббота, 12.11.2016, 21:27 | Сообщение # 16 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, Другой, это репак кролика, я его знаю, мне этот репак интересен, кинь ссылку откуда качал? eset nod32 antivirus / smart security 8.0.319.1 repack by andreyonohov Вроде так, но в интернете его найти не могу(
Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 22:01 |
|
| |
blogz | Дата: Суббота, 12.11.2016, 22:00 | Сообщение # 17 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Тот который я залил на Яндекс диск к Кролику не имеет никакого отношения. Наведи на установочный файл курсор и ты увидишь название.
Это репак от от Andreyonohov, я вытянул его из какого-то сборника WPI, уже и не помню как тот сборник программ назывался. Из всех программ в сборке мне только антивирус и понравился, вот и оставил его отдельно себе в инсталяторах. В общем, правильно говоря это два репака от Andreyonohov и первый который я раньше кидал и второй автор один и тот же. Второй что яндекс диске более свежий относительно восьмой версии, и ставится только ESET Smart Security.
|
|
| |
Tarkett | Дата: Суббота, 12.11.2016, 22:19 | Сообщение # 18 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, поздно, я ему уже в личку на nnmclub написал) Спасибо, тоже скачаю на всякий случай...просто такая разница в весе там 4 программы а тут две.
|
|
| |
blogz | Дата: Суббота, 12.11.2016, 22:23 | Сообщение # 19 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Ну не я собирал инсталятор)), скорее всего во втором варианте уже включены базы с более новыми обновлениями.
|
|
| |
Tarkett | Дата: Суббота, 12.11.2016, 22:30 | Сообщение # 20 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| blogz, а 9 версия нода чем хуже 8, ты вроде говорил, да я уже забыл) вот что нашел
Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 22:33 |
|
| |
blogz | Дата: Суббота, 12.11.2016, 22:37 | Сообщение # 21 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Девятая глюканутая немного, я ставил мне не понравилась, да и интерфейс у 9-й испортили, кстати уже десятая есть русская. Пока правда ещё не тестил 10-ю, времени всё нет.
|
|
| |
Tarkett | Дата: Воскресенье, 13.11.2016, 00:11 | Сообщение # 22 |
Группа: Проверенные
Сообщений: 12
Статус: Оффлайн
| Ша скачаю этот WPI. гляну чей там репак нода От того же репакера. только новее Держи 8 и 9 версии
Если что нужно из этого WPI, то могу скинуть.
Сообщение отредактировал Tarkett - Суббота, 12.11.2016, 23:34 |
|
| |
|
Design powered by Xemera™ Copyright © 2009-2024 |
|
|
|
Всего: 176 Админ: 1 Модераторы: 0 Журналисты: 12 Проверенные: 5 Пользователи: 158 Парней: 142 Девушек: 34
|
|
|