Так, часть проблемы решилась. Поковырял файл hosts и теперь могу спокойно ходить по сайтам, которые ввожу в адресной строке. Вот только при попытке входа в контакт, сообщение осталось:
Это сообщение от самого вконтакте или же подарок от того трояна?
| NANO Antivirus > Forum http://www.nanoav.pro/forum/ |
|
| Попался http://www.nanoav.pro/forum/viewtopic.php?f=15&t=235 |
Страница 1 из 1 |
| Автор: | shutter [ 18 июл 2010 12:27 ] |
| Заголовок сообщения: | Попался |
В общем, ситуация такова. В контакте наткнулся на группу, в которой "раздают" бесплатно голоса. Ну я повелся, скачал специальную программу и запустил, предварительно проверив NANO Антивирусом 0.10.0, который кстати, только сегодня обновлялся. Программа потребовала прав от администратора, дал ей, запустил. Ничего не вылезло. Открываю браузер Firefox и при вводе любого адреса перехожу на якобы вконтакте и там пишут, что аккаунт временно заблокирован и требуется через терминал внести некоторое количество денег. Пробовал заходить на сайты с помощью Google Chrome и Internet Explorer - результат тот же. Очистка кэша и кукисов у всех браузеров не помогло, проверка диска C ничего не нашла. Сам бы нагуглил решение проблемы, но по вышеописанной причине не могу. Открыть форум NANO смог только с RSS (странно, но открывать сайты с RSS получается). По нажатию на кнопку "Домашняя страница" переход так же осуществляется. И еще, на какой адрес можно тправить злосчастную программу? Спешу, искать лень)) |
|
| Автор: | Ne1tr1n0 [ 18 июл 2010 16:04 ] |
| Заголовок сообщения: | Re: Попался |
По всей видимости у вас модифицирован файл hosts из папки C:\Windows\system32\drivers\etc\ По умолчанию там присутствует одна запись: 127.0.0.1 localhost Правда у вас файл мог быть модифицирован другими приложениями (вполне легально, до заражения системы). Кроме того данный файл может находиться под контролем запущенного трояна, который может например периодически проверять, изменился ли файл, и в случае чего - перезаписывать его, как это удобно трояну. Так что сначала желательно избавиться от зловреда, а затем уже поправить файл hosts. Если троян обезврежен, будем благодарны, если вы вышлете его нам на мыло virus@nanoav.ru, предварительно заархивировав файл с паролем 123. Для удаления трояна либо воспользуйтесь сторонней антивирусной утилитой (или LiveCD), либо самостоятельно проверьте объекты автозапуска в вашей системе (например с помощью Autoruns) и при обнаружении подозрительных записей удалите их в безопасном режиме, не забыв избавиться как от файлов, так и от записей. |
|
| Автор: | shutter [ 18 июл 2010 18:12 ] |
| Заголовок сообщения: | Re: Попался |
Ne1tr1n0 писал(а): Так что сначала желательно избавиться от зловреда, а затем уже поправить файл hosts. Сама система не дает его поправить... Ne1tr1n0 писал(а): Если троян обезврежен, будем благодарны, если вы вышлете его нам на мыло virus@nanoav.ru, предварительно заархивировав файл с паролем 123. Не понял... могу отправить саму програмку, от которой пошло заражение. Ne1tr1n0 писал(а): самостоятельно проверьте объекты автозапуска в вашей системе (например с помощью Autoruns) и при обнаружении подозрительных записей удалите их в безопасном режиме, не забыв избавиться как от файлов, так и от записей. посмотрел в msconfig'е объекты автозапуска. Посторонних нету. |
|
| Автор: | shutter [ 18 июл 2010 18:20 ] |
| Заголовок сообщения: | Re: Попался |
Так, часть проблемы решилась. Поковырял файл hosts и теперь могу спокойно ходить по сайтам, которые ввожу в адресной строке. Вот только при попытке входа в контакт, сообщение осталось: Это сообщение от самого вконтакте или же подарок от того трояна? |
|
| Автор: | Ne1tr1n0 [ 18 июл 2010 19:21 ] |
| Заголовок сообщения: | Re: Попался |
А вы уверены что в файле hosts больше не осталось алиасов vkontakte.ru? Попробуйте зайти с другого компьютера. shutter писал(а): Не понял... могу отправить саму програмку, от которой пошло заражение. Было бы здорово 
|
|
| Автор: | Ne1tr1n0 [ 18 июл 2010 19:33 ] |
| Заголовок сообщения: | Re: Попался |
Не могли бы вы сказать IP-адрес сайта, который выдает сообщение о заблокированной страничке? Чтобы узнать его сделайте следующее: 1. Запустите командную строку. 2. Введите там ping <адрес сайта из браузера, по всей видимости vkontakte.ru> 3. Далее в квадратных скобках будет указан адрес сайта (с учетом файла hosts, если он был изменен). |
|
| Автор: | shutter [ 18 июл 2010 20:08 ] |
| Заголовок сообщения: | Re: Попался |
Спасибо большое за помощь! Прошелся Dr.Web CureIt, он исправил файл хостс, удалил два файла и нашел 3 трояна, скорее всего относящиеся к этой проблеме. Сейчас отправлю вам на мыло файл отчет от др.вэба, програмку, от которой заразился и вирус. Там уж разберетесь
|
|
| Автор: | shutter [ 18 июл 2010 20:47 ] |
| Заголовок сообщения: | Re: Попался |
Google Mail не пропустила зараженные файлы...поэтому выложил на файлообменник. Программа - заразитель Вирус - не знаю, относится ли он к этому или нет, но NANO его не определил как вирус, а Dr.Web определил. На будущее - подобными ссылками следует обмениваться в приватном режиме подчистила.
|
|
| Автор: | Ne1tr1n0 [ 18 июл 2010 21:02 ] |
| Заголовок сообщения: | Re: Попался |
ну вот и замечательно Спасибо за сотрудничество, будем разбираться. Для полного счастья ещё не помешали бы файлы которые CureIt удалил, нам для опытов пригодились бы  Но вполне возможно, что они как раз таки относятся к тому файлу, что вы выслали. А насчет защиты файла хостс от изменений - это интересная мысль, мы обсудим целесообразность реализации и её варианты. |
|
| Автор: | shutter [ 18 июл 2010 21:32 ] |
| Заголовок сообщения: | Re: Попался |
Ne1tr1n0 писал(а): Спасибо за сотрудничество, будем разбираться. Вам спасибо Ne1tr1n0 писал(а): Для полного счастья ещё не помешали бы файлы которые CureIt удалил, нам для опытов пригодились бы Вот их-то я забыл переместить  Думаю, тему можно закрывать
|
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|