Нужно избавиться от поддельного гугла

Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.

Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен

Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.

С уважением, ваш призрачный админ, BigMac...

Нужно избавиться от поддельного гугла

goodguy

Пользователь

Сообщения: 109
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения

Автор: iskander-k
Дата: 31-10-2013

Всем доброго времени суток.
Сразу оговорюсь, что сам я далеко не ламер в администрировании систем, но тут пару дней назад на моем ноуте, совершенно непонятно откуда появилась странная проблема.
Стоит ввести в адресную строку google.ru, как загружается страница, предлагающая скачать новую версию браузера из которого она запущена. То есть если открыть гугл хром, то появится вот это
http://img36.imageshack.us/img36/4302/aq4o.png
если оперу, то подобная страница для оперы. Вроде похожа на настоящую, но меня сразу насторожило то, что ссылки слишком простые на скачку файлов.
Скачал файл, проверил антивирусом, и действительно, троян.
Вопрос, как избавиться от этого редиректа?

Вот что делал я:
1) проверил файл hosts, там все чисто. Никаких дополнительных скрытых файлов в его директории тоже не создалось
2) проверил весь реестр на наличие ссылок на google.ru, ничего
3) проверил автозапуск в реестре, там тоже все чисто, ничего лишнего. Вообще убрал все кроме KIS 2013 из автозапуска. Не помогло.
4) Поостанавливал все службы, кроме майкросовтовских. Бесполезно.
5) Проверил весь комп на вирусы (касперыч (kis 2013) лицензионный и постоянно обновляется). Никакой активности не обнаружил.
6) пробовал очищать и кэш браузеров и днс кэш системы, все бестолку.

На этом у меня идеи кончились. Прошу помощи, хотя бы в подсказках что еще можно попробовать.

п.с. Со всех других компов дома гугл работает нормально. Пингую гугл, беру ip, ввожу на ноуте, по IP переходит на реальный гугл

п.п.с и еще одна вещь, если ввести запрос прямо в адресную строку, то откроется реальный гугл и запрос сработает. А вот если адрес google.ru/com или gmail.com - этот фейк

Отправлено: 17:07, 31-10-2013

goodguy

Пользователь

Сообщения: 109
Благодарности: 0

Профиль | Отправить PM | Цитировать

Выяснил в чем проблема. Она оказалась куда глобальнее, чем пределы моего компа. Кто-то хакнул провайдера.
Удивляло то, что на работе все нормально, прихожу домой, вылезает эта хрень. Собственно, этот факт и насторожил.
Принес совершенно чистый ноутбук домой, приконнектился к вайфаю, и вылезла та же проблема.
Причем сделано хитро. Несколько запросов действительно идут на реальный гугл. А дальше, запросов после десяти, начинает редиректить на этот фейк. Причем редирект происходит только с винды. Видимо поставили проверку на ОС и браузер. В опере переадресует на фейковое обновление оперы, в хроме на хром, а в огелисе, на фейк-сайт мозиллы. Если отключить модем, то после смены айпи, еще раз десять сработает настоящий гугл. А дальше та же песня. И срабаытвает это все после 7 вечера. Когда уже все специалисты ушли домой, и проверять некому.

Естественно решить эту проблему я не могу. Разговор с провайдером - все равно что со стеной.
Единственный вариант, который остался - прокси.

П.с. провайдер ростелеком, запсиб.

Отправлено: 19:58, 28-11-2013 | #11