» Помогите вирус одолеть! virus

лечим вирусы

Мобильные антивирусы и утилиты

CureIt! - Бесплатный полнофункциональный сканер DrWeb 4.33
Бесплатные программы от Лаборатории Касперского™
McAfee Rootkit Detective 1.0 - обнаруживает и удаляет руткиты
Антивирусная утилита AVZ




On-Line проверки

Онлайн проверка на вирусы от Dr. Web®
virustotal


Рекомендации к лечению
http://forum.kaspersky.com/index.php?showtopic=23473

На нашу сетку напасть свалилась. Проявляется так что при открытии некоторых сайтов, например www.ixb.com =) внутри страницы показывается порнушная картинка прямо поверх сайта. Причем с каждой такчки внутри локальной сети одно и тоже. На машинах стоит MCAFEE Antivirus 8.0i + MCAFEE Antispyware 8.0 и эту гадость они не могут найтить. Что это такое и как с ним бороться.

Здеся глянь:

http://forum.ru-board.com/topic.cgi?forum=5&topic=2547&start=640#6

юзай анти спайваре проги типа ad-ware www.lavasoft.de/aaw/index.html и др , можешь сам ручками полазить по реестру и покоцать эту бяку !
http://winfaq.com.ru/ubb/Forum2/HTML/003401.html
http://www.computery.ru/upgrade/faq/soft/2002/sfaq_72.htm
у майкрософта кстати появился свой антиспай - бесплатный! наверно с ним даже лучше
будет . http://www.microsoft.com/downloads/details.aspx?FamilyId=321CD7A2-6A57-4C57-A8BD-DBF62EDA9671&displaylang=en

Попробовал многое ничего не помогает. Пр этом порнуха кажется как в експлорере так и в мозилле. Как так может быть?

Цитата:

Как так может быть?

Так может быть когда кеш стоИт общий (прокси).

handverk
в реестре ищи запись URL Prefiics bkb http префикс.. некоторые порнушние spyware их заменяют... и когда ты набираешь http://www.ru оно подставляет на http://sex.comb и бла-бла

handverk
Поставь BitDefender и проверь диск с системой... Хотя бы на той тачке, на которой проксяка стоит. Должен найти Если же нет, тогда пробуй совет mikas, много времени и усердия, но результат может быть хороший... правда сам вирь не найдешь...

uckrab

Да это предположение Верно! Действительно все ходят в инет через проксю. Прокся стоит на FreeBSD которая стоит уже лет пять и ставил ее не я. У меня даже пароля на вход в систему нету а чел, который ее ставил канул в лету задолго до меня. Ну так вот через этот роутер все идет в инет. Есть ли там файрвол или нет я не знаю.

Соответственно возникает предположение что заломана прокся, верно? Но мне как то сомнительно почему то, что ни с того ни с сего кто то вдруг решил ломануть нам уних. Вирусов для униха вроде бы нету.

Перегрузил вчера уних, но ничего не изменилось. Как сбросить прокси в унихе я не знаю короче.

Да я специально посмотрел http запросы http analizer ом. Так вот у всех картинок в том числе и порнушных адреса правильные такие как на сайте и механизм таков - одна из картинок сайта заменена на порнушную. Вот такие вот дела творятся...

mikas
Это было бы логично сделать если то были бы глюки експлорера. Но ведь мозила кажет то же самое причем на всех компах одно и то же.

Есть еще такая прога:Spybot

uckrab

Да прога выглядит серьезно! Что то даже делает, но проблему не пофиксила. Видима проблема на серваке.

handverk
Проверь на всякий случай содержимое файла %windir%\system32\drivers\etc\hosts там может быть подмена ДНС.

handverk
Чем на страницы ходишь ? Случайно не IE ?
Попробуй альтернативный броузер.
Все что советовали пробовал ?
Для IE можно попробовать поискать вредные модули BHO (прогами типа BHODemon, BHOCaptor).
Ну и продукция LavaSoft конечно ...

скорее всего проблема все-таки в прокси-сервере
Так что придется ковырять ФриБСД
Но в этом я ноль
обратись к
http://forum.ru-board.com/messanger.cgi?action=new&touser=Pukite

Новости пока следующие: установлено методом дедукции а затем доказано что если вводится адрес сайта по его ip адресу то загрузка порнухи не происходит. Если вводится www адрес то порнуха по прежнему грузится. Втыкал в сетку свой ноут. Он у меня без вирусов точняк. Через нашу проксюху порнуха грузится и на него тоже.

Как правильно заметил Ici Chacal дело скорее всего в том, что программа прописала порно-сайты в файле %windir%\system32\drivers\etc\hosts. Посмотри этот файл - скорее всего найдешь много чего интересного.

Als

файл hosts содержит всего лишь одну строку: 127.0.0.1 localhost
не в компах дело похоже

Цитата:

если вводится адрес сайта по его ip адресу то загрузка порнухи не происходит

Подмена ДНС. По символьному имени выдается левый IP.

Цитата:

Втыкал в сетку свой ноут. Он у меня без вирусов точняк. Через нашу проксюху порнуха грузится и на него тоже.

Ну так прокси, однозначно. Есть такое понятие - "Зараженный кеш". Спроси в топике про FreeBSD, как ей кеш ДНС почистить. Там тоже hosts должен быть. Хотя стоп. А ДНС сервер у тебя какой прописан? Ipconfig /all

вот такое выдает ipconfig насколько я понял dns стоит 127.0.0.1

C:\Documents and Settings\adm>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : xxxxx
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8029(AS) PCI Ethernet адаптер
Физический адрес. . . . . . . . . : 00-50-FC-37-A1-BA
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.3
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : fe80::250:fcff:fe37:a1ba%4
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1
fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Automatic Tunneling Pseudo-Interface

Физический адрес. . . . . . . . . : C0-A8-00-03
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : fe80::5efe:192.168.0.3%2
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS через TCP/IP. . . . . . . : отключен

Цитата:

Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1

Это прокси. Хотя теоретически она может ДНС запрос просто пересылать далее к прову и ДНС заражен там, но обычно делается кеширование. Надо с проксей тебе разбираться. Общие вопросы по FreeBSD Тут я тебе помочь не могу. А из спецов нету никого.
И убери IPv6. Только путает.

Угу все понял. Ici Chacal Большое спасибо, буду разбираться дальше...

handverk
Читаем, учимся

eBook: FreeBSD. Администрирование: искусство достижения равновесия.

.

uckrab
Совпадает ли данные nslookup с реальными IP ?

Все пофиксили путем форматирования Кеша - энто он заглючил, теперь все ок.
Все большое спасибо!

Да, старое-доброе форматирование. Всегда выручает!


Хорошо, что обошлось "малой кровью".

Да на этот раз обошлось. =)

Но вообще у меня стоит на локальных такчках McAfee 8.0i Antivirus + MacAfee 8.0 Antispyware + Microsoft Antispyware и впринципе вместе они работают неплохо.

uckrab
handverk
Офтопите, ребята! Есть ПМ для переписки.
handverk

Цитата:

теперь все ок.

Зачем же дальше постить?

Добрый День!
Знакомая подхватила вирус и я не знаю как вылечить ее ПК. ОС Windows XP с SP2.
Там где все программы (Пуск) пусто, на рабочем столе пусто. В свойства рабочего стола зайти нельзя. Права стали обрезанные (хотя и пишет что администратор). Папки Windows нет на диске (то есть не видно). Вместо чатов пишет ХУЙ. Когда запускаешь IE пишет тоже. При запуске компа просит купить карточку для телефона и код отослать на мыло. Что посоветуете?

ShahrayOleg

Цитата:

Вместо чатов пишет ХУЙ. Когда запускаешь IE пишет тоже. При запуске компа просит купить карточку для телефона и код отослать на мыло

похоже на Андеграунд » Новая зараза Trojan.Win32.Krotten.g

ShahrayOleg
Новая зараза Trojan.Win32.Krotten.g

Almaz
Cheery

Спасибо, все решил