Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Подмена сайта

1 2 След.
RSS
 
Sasha95
Sasha95
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.12.2012
Размещено 23.12.2012 09:15:16
У меня иногда при открытии сайта происходит его подмена на my-eromir.net
Проверил антивирусом в файле host нашёл вирус, вылечил, но проблема осталась. Происходит это на всех браузерах(Google,Explorer).
Проверял антивирусами: Касперский, Nod32, различными прогами для поиска шпионов, троянов, но как ни странно вирус нашёл Windows защитник.
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 23.12.2012 09:57:50
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
Изменено: santy - 23.12.2012 09:58:03
[ Как создать образ автозапуска? ]
 
Sasha95
Sasha95
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.12.2012
Размещено 23.12.2012 11:53:39
Щас выложу, я пытался вручную(другой прогой все файлы при автозапуске просмотрел) найти файл вируса, не получилось.
 
Sasha95
Sasha95
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.12.2012
Размещено 23.12.2012 11:58:29
Вот
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 23.12.2012 13:59:09
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
hide %Sys32%\WUL.EXE
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 23.12.2012 15:26:25
Sasha95
Также выполните скрипт:

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref /C
regt 14
deltmp
delnfr
restart


-------------
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
 
Sasha95
Sasha95
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.12.2012
Размещено 23.12.2012 16:03:45
Щас выложу. Но можно объяснить, какой именно файл заражён? И какие она(uVS) дирректории отчищала, автозапуск, куки, а что ещё? И если ещё такое будет, где можно в этой программе сделать тоже самое, но без скрипта? Прост осамому интересно в дальнейшем, обычно справлялся сам, но тут не получается.
Изменено: Sasha95 - 23.12.2012 16:04:57
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 23.12.2012 16:05:26
выложите лог мбам, ничего не удаляйте, ждите рекомендации хелперов что удалить, а что оставить.
------
для самостоятельного изучения
http://pchelpforum.ru/f26/t94635/
Изменено: santy - 23.12.2012 16:06:14
[ Как создать образ автозапуска? ]
 
Sasha95
Sasha95
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 23.12.2012
Размещено 23.12.2012 16:06:37
вот, после всех оперций. После первого скрипта 2-ва фала было, удалил(вручную посмотрел, вроде похожи на вирусы).
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 23.12.2012 16:17:05
если проблема решена
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему