Добрый день, вчера словил (вирус) на одном из сайтов, KIS и Adguard промолчали, путешествовал на Mozilla Firefox, суть дела вот в чем, при попытки зайти в любой ведущий сайт социальных сетей, происходила переадресация, не явная (без каких либо уведомлений) на германские сервера 37.10.117.75-37.10.117.77, которые собственно являются имитацией известных нам сайтов, с требованиями отправить СМС для раз блокировки аккаунта и т.д. Что не менее странно, адрес полностью соответствовал оригиналу. Немного поразмыслив, скачал HiJackThis, проверил ПК и обнаружил подозрительные записи
O1 - Hosts: 37.10.117.75 counter.rambler.ru mc.yandex.ruwww.google-analytics.com admulti.com counter.spylog.com
O1 - Hosts: 37.10.117.77www.odnoklassniki.ru odnoklassniki.ru my.mail.ru m.vk.com m.odnoklassniki.ru vk.com
удалил их, в результате, все заработало как и требуется.
Вопрос следующий:
www.google-analytics.com admulti.com counter.spylog.com
O1 - Hosts: 37.10.117.77www.odnoklassniki.ru odnoklassniki.ru my.mail.ru m.vk.com m.odnoklassniki.ru vk.com
P.S.
Полный log HiJackThis ниже.
O1 - Hosts: 37.10.117.75 counter.rambler.ru mc.yandex.ru
O1 - Hosts: 37.10.117.77
удалил их, в результате, все заработало как и требуется.
Вопрос следующий:
- Своими действиями, удалил ли я все компоненты (вируса).
- Где располагаются эти строки (файл).
O1 - Hosts: 37.10.117.77
P.S.
Полный log HiJackThis ниже.
Скрытый текст |
---|
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 0:00:26, on 03.01.2013 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16450) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\USB Safely Remove\USBSafelyRemove.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Adguard\Adguard.exe C:\Program Files\Total Commander\TOTALCMD.EXE C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\system32\wuauclt.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Process Hacker 2\ProcessHacker.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 37.10.117.75 counter.rambler.ru mc.yandex.ru O1 - Hosts: 37.10.117.77 O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup O4 - HKCU\..\Run: [Adguard] C:\Program Files\Adguard\Adguard.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: AutorunsDisabled O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\TOTALCMD.EXE O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: &Виртуальная клавиатура - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Проверка ссы&лок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\redirect\redirect.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O17 - HKLM\System\CCS\Services\Tcpip\..\{16135C41-35C3-40A0-B648-D48D72A1312A}: NameServer = 84.42.48.10,8.8.8.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{16135C41-35C3-40A0-B648-D48D72A1312A}: NameServer = 84.42.48.10,8.8.8.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{16135C41-35C3-40A0-B648-D48D72A1312A}: NameServer = 84.42.48.10,8.8.8.8 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O22 - SharedTaskScheduler: Theme Resource Changer - {F791A188-699D-4FD4-955A-EB59E89B1907} - \Program Files\Theme Resource Changer\ThemeResourceChanger.dll O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - C:\Program Files\USB Safely Remove\USBSRService.exe -- End of file - 8259 bytes |
Изменено: Иван Петров - 03.01.2013 16:53:41