Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Нужно избавиться от поддельного гугла (http://forum.oszone.net/showthread.php?t=271079)

goodguy 31-10-2013 17:07 2244720
Нужно избавиться от поддельного гугла
 
Всем доброго времени суток.
Сразу оговорюсь, что сам я далеко не ламер в администрировании систем, но тут пару дней назад на моем ноуте, совершенно непонятно откуда появилась странная проблема.
Стоит ввести в адресную строку google.ru, как загружается страница, предлагающая скачать новую версию браузера из которого она запущена. То есть если открыть гугл хром, то появится вот это
http://img36.imageshack.us/img36/4302/aq4o.png
если оперу, то подобная страница для оперы. Вроде похожа на настоящую, но меня сразу насторожило то, что ссылки слишком простые на скачку файлов.
Скачал файл, проверил антивирусом, и действительно, троян.
Вопрос, как избавиться от этого редиректа?

Вот что делал я:
1) проверил файл hosts, там все чисто. Никаких дополнительных скрытых файлов в его директории тоже не создалось
2) проверил весь реестр на наличие ссылок на google.ru, ничего
3) проверил автозапуск в реестре, там тоже все чисто, ничего лишнего. Вообще убрал все кроме KIS 2013 из автозапуска. Не помогло.
4) Поостанавливал все службы, кроме майкросовтовских. Бесполезно.
5) Проверил весь комп на вирусы (касперыч (kis 2013) лицензионный и постоянно обновляется). Никакой активности не обнаружил.
6) пробовал очищать и кэш браузеров и днс кэш системы, все бестолку.

На этом у меня идеи кончились. Прошу помощи, хотя бы в подсказках что еще можно попробовать.

п.с. Со всех других компов дома гугл работает нормально. Пингую гугл, беру ip, ввожу на ноуте, по IP переходит на реальный гугл

п.п.с и еще одна вещь, если ввести запрос прямо в адресную строку, то откроется реальный гугл и запрос сработает. А вот если адрес google.ru/com или gmail.com - этот фейк

Sandor 31-10-2013 17:13 2244728
Сделайте логи по этой инструкции.

goodguy 31-10-2013 19:53 2244902
Вложений: 4
Вот логи

п.с. Кстати еще заметил, что если ввести не google.ru, а https://google.ru то тоже откроется реальный гугл. То есть с указанием протокола secure
такое впечатление, что в браузерах пропатчились поисковики

Sandor 01-11-2013 11:52 2245269
Сделайте дополнительно лог HijackThis

goodguy 01-11-2013 12:19 2245296
Вот он
читать дальше »
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:12:27, on 31.10.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\VistaFirewallControl\VistaFirewallControl.exe
C:\Program Files\ABBYY Lingvo x5\LvAgent.exe
C:\Users\Konstantin\AppData\Roaming\uTorrent\uTorrent.exe
C:\Users\Konstantin\AppData\Local\Skillbrains\lightshot\4.4.2.0\LightShot.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Konstantin\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files\Yandex\Punto Switcher\punto.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Windows\hh.exe
C:\Program Files\FlashDevelop\FlashDevelop.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\klwtblfs.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Konstantin\Downloads\avz4\avz4\avz.exe
C:\Users\Konstantin\Downloads\HiJackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll
O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"
O4 - HKLM\..\Run: [VistaFirewallControl] C:\Program Files\VistaFirewallControl\VistaFirewallControl.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo x5\LvAgent.exe" /STARTUP
O4 - HKCU\..\Run: [uTorrent] "C:\Users\Konstantin\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKCU\..\Run: [LightShot] C:\Users\Konstantin\AppData\Local\Skillbrains\lightshot\LightShot.exe Flags: uninsdeletevalue
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Create virtual drive for Denwer.lnk = C:\Apache\denwer\Boot.exe
O4 - Startup: Dropbox.lnk = Konstantin\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe
O8 - Extra context menu item: Перевести с помощью ABBYY Lingvo x&5 - res://C:\Program Files\ABBYY Lingvo x5\Lingvo.exe/3000
O9 - Extra button: Виртуальная клавиатура - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O9 - Extra button: Проверка ссылок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: 2GIS UpdateService (2GISUpdateService) - ООО ДубльГИС - C:\Program Files\2gis\3.0\2GISUpdateService.exe
O23 - Service: Сервис лицензирования ABBYY Lingvo x5 (ABBYY.Licensing.Lingvo.Desktop.15.0) - ABBYY - C:\Program Files\Common Files\ABBYY\Lingvo\15.0\Licensing\NetworkLicenseServer.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe
O23 - Service: IconMan_R - Realsil Microelectronics Inc. - C:\Program Files\Realtek\Realtek PCIE Card Reader\RIconMan.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Control Center\VESMgr.exe
O23 - Service: VistaFirewallService - Sphinx Software - C:\Program Files\VistaFirewallControl\VistaFirewallService.exe

--
End of file - 6845 bytes

Сейчас пока проблема не наблюдается. Она каким-то образом появляется в районе 7 вечера каждый день. Предполагаю, что какая-то зараженная служба висит/ела или задание было на 7 вечера. В общем, снес все задания, AVZ нашел пару каких-то троянов в System32/drivers
их удалил
почистил кэш браузеров, и пока все нормально
если вечером не проявится, отпишусь здесь

goodguy 04-11-2013 20:08 2247383
Проблема полностью исчезла. Видимо дело и было в каком-то из тех двух троянов, которые нашла avz

Sandor 05-11-2013 11:33 2247734
Цитата:
Цитата goodguy
тех двух троянов, которые нашла avz »
Отчет об удалении не сохранился?

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации.

goodguy 06-11-2013 16:22 2248552
Рано радовался. Проблема не исчезла.
Сегодня в семь вечера опять та же фигня. При этом касперский вообще никакой реакции не проявил.
Захожу глянуть файл hosts и вижу, что он был изменен в 19:08 сегодня. Но он чист. Вообще не знаю уже куда копать.. хоть систему переустанавливай
Обнаружил в системных заданиях вот такую фигню http://prntscr.com/22a519
похоже это оно, хотя может и просто совпадение. Но в задании было указано, что нужно запускать при подключении к сети

goodguy 06-11-2013 20:12 2248706
И не в задачах проблема. Уже вообще не знаю куда копать. Этот фейк просто задолбал своим периодическим появлением

iskander-k 07-11-2013 00:27 2248877
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Интернет у вас какой ? Через модем , роутер или оптоволокно ?

goodguy 28-11-2013 19:58 2263292
Выяснил в чем проблема. Она оказалась куда глобальнее, чем пределы моего компа. Кто-то хакнул провайдера.
Удивляло то, что на работе все нормально, прихожу домой, вылезает эта хрень. Собственно, этот факт и насторожил.
Принес совершенно чистый ноутбук домой, приконнектился к вайфаю, и вылезла та же проблема.
Причем сделано хитро. Несколько запросов действительно идут на реальный гугл. А дальше, запросов после десяти, начинает редиректить на этот фейк. Причем редирект происходит только с винды. Видимо поставили проверку на ОС и браузер. В опере переадресует на фейковое обновление оперы, в хроме на хром, а в огелисе, на фейк-сайт мозиллы. Если отключить модем, то после смены айпи, еще раз десять сработает настоящий гугл. А дальше та же песня. И срабаытвает это все после 7 вечера. Когда уже все специалисты ушли домой, и проверять некому.

Естественно решить эту проблему я не могу. Разговор с провайдером - все равно что со стеной.
Единственный вариант, который остался - прокси.

П.с. провайдер ростелеком, запсиб.


Время: 08:44.

Время: 08:44.
© OSzone.net 2001-