|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Нужно избавиться от поддельного гугла |
|
|
Нужно избавиться от поддельного гугла
|
Пользователь Сообщения: 109 |
Профиль | Отправить PM | Цитировать
Всем доброго времени суток.
Сразу оговорюсь, что сам я далеко не ламер в администрировании систем, но тут пару дней назад на моем ноуте, совершенно непонятно откуда появилась странная проблема. Стоит ввести в адресную строку google.ru, как загружается страница, предлагающая скачать новую версию браузера из которого она запущена. То есть если открыть гугл хром, то появится вот это http://img36.imageshack.us/img36/4302/aq4o.png если оперу, то подобная страница для оперы. Вроде похожа на настоящую, но меня сразу насторожило то, что ссылки слишком простые на скачку файлов. Скачал файл, проверил антивирусом, и действительно, троян. Вопрос, как избавиться от этого редиректа? Вот что делал я: 1) проверил файл hosts, там все чисто. Никаких дополнительных скрытых файлов в его директории тоже не создалось 2) проверил весь реестр на наличие ссылок на google.ru, ничего 3) проверил автозапуск в реестре, там тоже все чисто, ничего лишнего. Вообще убрал все кроме KIS 2013 из автозапуска. Не помогло. 4) Поостанавливал все службы, кроме майкросовтовских. Бесполезно. 5) Проверил весь комп на вирусы (касперыч (kis 2013) лицензионный и постоянно обновляется). Никакой активности не обнаружил. 6) пробовал очищать и кэш браузеров и днс кэш системы, все бестолку. На этом у меня идеи кончились. Прошу помощи, хотя бы в подсказках что еще можно попробовать. п.с. Со всех других компов дома гугл работает нормально. Пингую гугл, беру ip, ввожу на ноуте, по IP переходит на реальный гугл п.п.с и еще одна вещь, если ввести запрос прямо в адресную строку, то откроется реальный гугл и запрос сработает. А вот если адрес google.ru/com или gmail.com - этот фейк |
|
Отправлено: 17:07, 31-10-2013 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Сделайте логи по этой инструкции.
|
------- Отправлено: 17:13, 31-10-2013 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 109
|
Профиль | Отправить PM | Цитировать Вот логи
п.с. Кстати еще заметил, что если ввести не google.ru, а https://google.ru то тоже откроется реальный гугл. То есть с указанием протокола secure такое впечатление, что в браузерах пропатчились поисковики |
Отправлено: 19:53, 31-10-2013 | #3 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Сделайте дополнительно лог HijackThis
|
------- Отправлено: 11:52, 01-11-2013 | #4 |
Пользователь Сообщения: 109
|
Профиль | Отправить PM | Цитировать Вот он
Сейчас пока проблема не наблюдается. Она каким-то образом появляется в районе 7 вечера каждый день. Предполагаю, что какая-то зараженная служба висит/ела или задание было на 7 вечера. В общем, снес все задания, AVZ нашел пару каких-то троянов в System32/drivers их удалил почистил кэш браузеров, и пока все нормально если вечером не проявится, отпишусь здесь |
|
Отправлено: 12:19, 01-11-2013 | #5 |
Пользователь Сообщения: 109
|
Профиль | Отправить PM | Цитировать Проблема полностью исчезла. Видимо дело и было в каком-то из тех двух троянов, которые нашла avz
|
Отправлено: 20:08, 04-11-2013 | #6 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Цитата goodguy:
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации. |
|
------- Отправлено: 11:33, 05-11-2013 | #7 |
Пользователь Сообщения: 109
|
Профиль | Отправить PM | Цитировать Рано радовался. Проблема не исчезла.
Сегодня в семь вечера опять та же фигня. При этом касперский вообще никакой реакции не проявил. Захожу глянуть файл hosts и вижу, что он был изменен в 19:08 сегодня. Но он чист. Вообще не знаю уже куда копать.. хоть систему переустанавливай Обнаружил в системных заданиях вот такую фигню http://prntscr.com/22a519 похоже это оно, хотя может и просто совпадение. Но в задании было указано, что нужно запускать при подключении к сети |
Последний раз редактировалось goodguy, 06-11-2013 в 16:37. Отправлено: 16:22, 06-11-2013 | #8 |
Пользователь Сообщения: 109
|
Профиль | Отправить PM | Цитировать И не в задачах проблема. Уже вообще не знаю куда копать. Этот фейк просто задолбал своим периодическим появлением
|
Отправлено: 20:12, 06-11-2013 | #9 |
скептик-оптимист Сообщения: 5709
|
Профиль | Отправить PM | Цитировать • Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Интернет у вас какой ? Через модем , роутер или оптоволокно ? |
------- Отправлено: 00:27, 07-11-2013 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] Блокирует поиск от яндекса, гугла и т.д. | Pokrov123 | Лечение систем от вредоносных программ | 8 | 09-06-2013 12:34 | |
Как избавиться от мошек? | Gold Dragon | Флейм | 0 | 12-12-2009 10:21 | |
Избавиться от вируса | Elmiraxanum | Лечение систем от вредоносных программ | 1 | 30-11-2009 20:53 | |
Как избавиться от WinStyle? | Mystique | Проект WinStyle | 14 | 14-11-2009 03:36 | |
[решено] Удавалось кому нибудь подружить Custom Search Engine от гугла с сайтом? | Vampire | Вебмастеру | 12 | 14-12-2007 21:21 |
|