Как вылечить подмену страниц
Добрый день!
Один из моих подконтрольных менеджеров на работе получил подмену гугла/яндекса во всех браузерах. Сайты выглядят одинаково с оригинальными, но просят ввести телефон для «разблокирования доступа к поиску».
Cureit нашел руткит, удалил его — подмена сохранена. Virus Removal Tool ничего не нашел, Trojan Remover находит что то каждый раз, удаляет, после перезагрузки все то же самое…
Кто-нибудь сталкивался с конкретным зверем? Как это лечить?
Посоветуйте пожалуйста альтернативу cureit/virus removal tool.
На компьютере кстати стоит AVG internet security последний… И в нём тишина.
Вопрос задан
более трёх лет назад
15397 просмотров
Ну коли avz не помогает, то поможет «мощное оружие, бьющее точно в цель» — запустите на пациенте ComboFix — www.bleepingcomputer.com/combofix/how-to-use-combofix
если и он не поможет даже после пары запусков (дождайтесь вывода отчета о проверке в Блокноте), то только ручками искать (составляя отчет в avz и отправляя на virus total или подобное) или переставлять.
Могу еще порекомендовать проверить комп при помощи вот этого антивируса — он больше специализируется на троянах и прочей гадости — www.malwarebytes.org/
Скачайте бесплатную версию, установите и запустите проверку например всего диска С:.
Платная отличается только резидентным модулем.
Пригласить эксперта
Проверьте ключ в реестре
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
Значение данного ключа равно следующему значению?
%SystemRoot%system32driversetchosts
ну логично же что либо прописана лажа в файле hosts или же сменили адреса днс серверов.
Ой, а может проблема не на компьютере, а например, на зараженном ДНС-сервере в локалке? Или зараженном роутере? Или зараженный сосед-компьютер подделывает DNS-ответы? Можете сделать с зараженного компьютера nslookup google.com 8.8.8.8? Это отправка ДНС-запроса напрямую в Гугл. Она дложна вернуть что-то вроде этого:
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: google.com
Addresses: 173.194.71.100, 173.194.71.102, 173.194.71.113, 173.194.71.101
173.194.71.139, 173.194.71.138
Лечил такое на днях с помощью DrWev Cureit
Попробуйте файл C:Windowssystem32rpcss.dll проверить на virustotal. Если заражен — заменить с такой же системы.
HijackThis и курить логи…
К слову, полученный вами IP 74.125.232.225 принадлежит действительно гуглу. Может дело в проксе?
06 сент. 2020, в 23:52
20000 руб./за проект
06 сент. 2020, в 21:23
1800 руб./за проект
06 сент. 2020, в 20:45
10000 руб./за проект
Источник
В последнее время в Рунете появилось вредоносное программное обеспечение нового типа – программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем.
В строгом понимании термина «вирус» эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов, поэтому условимся называть такое ПО «вирусом подмены страниц». При обращении пользователя, компьютер которого заражен таким вирусом, к поисковой системе вирус изменяет один из результатов поиска. Таким образом, пользователь переходит не на сайт, найденный поисковой системой, а на какой-то другой.
Эта проблема существует для всех популярных в Рунете поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.
Вирус подмены страниц может попасть на компьютер вместе с какой-нибудь программой, загруженной из интернета. Например, вместе с бесплатным ускорителем закачки файлов BitAccelerator, который предоставляется файлообменным сервисом Letitbit.net. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении BitAccelerator.
Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:
- Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
- Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.
Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.
Схема работы мошенников выглядит следующим образом:
- Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
- Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
- Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников – поэтому рекламодатель заплатит за этот переход.
В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию – обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи.
До недавнего времени антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт – не особо полезный, но вроде бы и не вредный. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, «Лаборатория Касперского», ESET (NOD32), Panda Security обнаруживают и автоматически удаляют все известные версии вируса подмены страниц.
Кроме того, можно избавиться от вируса при помощи утилиты Касперского или CureIt от “Доктора Веба”.
Мы рассчитываем на то, что вместе с антивирусными компаниями нам удастся остановить распространение вируса и появление его новых образцов.
Если вы подозреваете, что ваш компьютер заражен вирусом подмены страниц, пишите по адресу – safesearch@yandex-team.ru. Мы обязательно поможем.
Александр Садовский
Источник
Благодаря довольно известному файлообменному ресурсу LetItBit, тысячи пользователей, установивших ихний бар в свои браузеры, заразились так называемым “вирусом подмены страниц”. Далее цитирую:
В последнее время в Рунете появилось вредоносное программное обеспечение нового типа – программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем.
В строгом понимании термина «вирус» эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов, поэтому условимся называть такое ПО «вирусом подмены страниц». При обращении пользователя, компьютер которого заражен таким вирусом, к поисковой системе вирус изменяет один из результатов поиска. Таким образом, пользователь переходит не на сайт, найденный поисковой системой, а на какой-то другой.
Эта проблема существует для всех популярных в Рунете поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.
Вирус подмены страниц может попасть на компьютер вместе с какой-нибудь программой, загруженной из интернета. Например, вместе с бесплатным ускорителем закачки файлов BitAccelerator, который предоставляется файлообменным сервисом Letitbit.net. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении BitAccelerator.
Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:
* Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
* Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.
Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.
Схема работы мошенников выглядит следующим образом:
* Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
* Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
* Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников – поэтому рекламодатель заплатит за этот переход.
В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию – обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи.
До недавнего времени антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт – не особо полезный, но вроде бы и не вредный. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, «Лаборатория Касперского», ESET (NOD32), Panda Security обнаруживают и автоматически удаляют все известные версии вируса подмены страниц.
Яндекс.Вебмастер ®
Так вот скачав этот самый бар, я заразился этим вирусом. Паразитирует он временами почему-то.
Утилита CureIt от “Доктора Веба” казалось помогла, удалив какую-то .dll библиотеку, но в гугле так страницы и меняются(
Подскажите что делать, прям отчаился уже… самые ревалентные результаты жрёт сволочь 
Источник
| Автор | Сообщение | ||
|---|---|---|---|
| ALEXRIME |
| ||
Member Статус: Не в сети | при выходе на страницу поиска например янедекс, гугл, рамблер сайт заменятся ( сразу меняет, не дает загрузить яндек гугл рамблер ) на другой сайт (левый Вконтакте с просьбой отослать смс на на номер ) как вылечить эту проблемку?:shock::shock::shock::oops: |
| Реклама | |
| Партнер |
| Hil | |
Advanced member Статус: Не в сети | ALEXRIME загляни для начала в файл hosts (windowssystem32driversetchosts – БЕЗ РАСШИРЕНИЯ, открывать текстовым редактором вроде Блокнота). Цитата: 127.0.0.1 localhost Все другие строки можно удалить. Особенно – если там есть адреса яндекса и других сайтов. Правда, без гарантии, что это вылечит причину, но зайти на яндекс будет можно. Обычно именно так возникает данная проблема. _________________ |
| ALEXRIME | |
Member Статус: Не в сети | так у меня стоит виндовс 7 _________________ |
| alpet | |
Member Статус: Не в сети | ALEXRIME _________________ |
| targitaj | |
Member Статус: Не в сети | Качать, ставить и прогонять SpyBot. _________________ |
| Hil | |
Advanced member Статус: Не в сети | ALEXRIME www.opera.com ) или Google Chrome. Если там всё ОК, то да, это надстройки браузера. Если там всё то же, то это либо hosts, как я написал, либо где-то сидит хитрый прокси. _________________ |
| ромыч12358 | |
Member Статус: Не в сети | я такое лечил в ХР тока зачисткой реестра,и смены браузера на оперу… _________________ |
| gamerka | |
Member Статус: Не в сети | сейчас эпидемия подобной заразы, лечится как сказал Hil |
| Silent forest | |
Member Статус: Не в сети | Если в других броузерах все нормально, то есть еще вариант: пкм по значку эксплорера на рабстоле- свойства-программы-надстройки и там отключить все (подозрительное) нафиг. _________________ |
–
Кто сейчас на конференции |
Сейчас этот форум просматривают: OrinRus и гости: 15 |
| Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения |
ÐабоÑаÑоÑиÑ
Источник
В интернете можно столкнуться с мошенниками, цель которых — завладеть вашими личными данными: узнать фамилию, имя и отчество, номер телефона, пароли от учетных записей, паспортные данные, реквизиты банковских карт и другие сведения. Мошенники используют их для доступа к личным аккаунтам и переписке, а также для кражи денег.
Личная информация пользователей нужна и для полноценной работы многих компаний и сервисов. Например, при оформлении заказа в интернете обычно нужно указать свои ФИО, адрес и номер телефона; при подписке на рассылку — электронную почту.
Стоит ли передавать свои данные конкретному сервису/компании, решать вам. Чтобы не стать жертвой мошенников, ознакомьтесь с информацией о способах хищения и защиты личных данных.
Злоумышленники используют разные способы для получения доступа к личной информации пользователей.
Фишинговые сообщения — это письма от мошенников, которые представляются банками и другими официальными организациями. Цель таких писем — заставить вас ввести пароль или данные карты в поддельную форму.
Злоумышленники запрашивают конфиденциальные данные для подтверждения учетной записи или активации почтового ящика. В результате ваша личная информация оказывается у мошенников.
Примеры
Вам пришло электронное письмо с предложением заработать без вложений, взломать чужой аккаунт или получить услугу бесплатно. После перехода по ссылке в письме появляется форма, в поля которой требуется ввести логин, пароль или данные карты. Если вы введете данные в форму, то рискуете оказаться жертвой мошенников.
Вам направили письмо от имени дальнего родственника о крупном наследстве. Для его получения мошенник предлагает заплатить комиссию за перевод крупной суммы или сообщить данные карты. После получения денег или доступа к карте мошенник исчезает.
Вы получили сообщения о взломе собственного аккаунта в соцсети. Мошенники предлагают срочно перейти по ссылке в сообщении и авторизоваться.
Подробнее о фишинговых письмах читайте в Помощи Яндекс.Почты.
Подмена сайта — это скрытое перенаправление пользователей на поддельные сайты с помощью вредоносных программ. Пытаясь зайти на популярный сайт, пользователь попадает на сайт-подделку, очень похожий на оригинал. Данные учетной записи, введенные на таком сайте, оказываются у злоумышленников.
Как происходит подмена сайта
Подмена сайта происходит по двум сценариям:
Вирус искажает информацию о домене в системе DNS. Для настройки DNS воспользуйтесь бесплатным сервисом Яндекс.DNS.
Вирус меняет системный файл hosts на вашем компьютере. Проверьте компьютер антивирусной утилитой CureIt! от Dr.Web или Virus Removal Tool «Лаборатории Касперского». Также вы можете устранить последствия вируса (в MS Windows):
Перейдите в папку C:WINDOWSsystem32driversetc.
Сделайте резервную копию файла hosts и откройте его с помощью «Блокнота».
Удалите все строки, кроме следующей:
127.0.0.1 localhost
Cохраните файл. Перезапустите браузер и попробуйте еще раз перейти на сайт. Проблема будет решена, если загрузится нужная страница.
Задайте для файла hosts атрибут Только чтение, чтобы защитить его от действия простых вирусов. Для этого нажмите на файл правой кнопкой мыши, выберите пункт меню Свойства, включите опцию Только чтение и нажмите кнопку OK.
Чтобы распознать сайт-подделку, обратите внимание на адрес в поисковой строке — он будет отличаться от официального. В правом верхнем углу вы не найдете значка безопасного соединения 
, а размещенные на поддельной странице ссылки, скорее всего, будут нерабочими.
Примеры
Пример подмены сайта:
Телефонные мошенники звонят или рассылают SMS от имени банка или платежной системы с просьбой предоставить номер карты или перевести деньги на указанный номер. Причины могут быть разными: истекший срок действия пароля, блокировка карты, крупный выигрыш или даже авария с участием близкого человека.
Вас могут попросить перейти по ссылке для восстановления доступа к аккаунту, отправить SMS или позвонить по конкретному номеру. Цель таких сообщений — списать деньги за отправку ответного SMS, подписать на платные услуги или заставить вас ввести пароль и данные карты.
Примеры
Вы получили SMS о блокировке карты от мошенника, который представился службой безопасности банка. Если позвонить по номеру отправителя SMS, злоумышленник попросит назвать данные вашей карты, а также код из SMS.
Не оставляйте незаблокированными телефоны и компьютеры, не выбрасывайте бумаги и носители данных (жесткие диски, SIM-карты, flash-карты), на которых хранятся пароли.
Если компьютером пользуется несколько человек, используйте разные профили операционной системы.
Не храните в электронной почте и не выкладывайте в открытый доступ копию документов, удостоверяющих личность: если мошенники взломают вашу почту, они смогут воспользоваться личными данными.
Перед работой на чужом компьютере войдите в приватный режим. Если такой возможности нет, очистите кэш, и cookie после завершения работы.
Регулярно проверяйте антивирусом съемные диски, флеш-карты и прочие носители информации, которые вы подключаете к чужим компьютерам.
Не вводите личную информацию в подозрительные формы, особенно в электронных письмах.
Не открывайте вложения и не переходите по ссылкам из электронной почты или мессенджеров (Telegram, WhatsApp и т. п.) от сомнительных адресатов. Если адресат кажется вам подозрительным, внесите его в черный список.
Позвоните по официальному номеру банка или другой организации, от имени которой было отправлено подозрительное письмо.
Прежде чем совершать покупки онлайн, проверяйте отзывы и рейтинг магазинов, аккаунты продавцов и условия оплаты.
Оплачивайте покупки только через известные платежные сервисы и системы (например, Яндекс.Деньги, Visa, WebMoney, Paypal) — такие платежи надежно защищены.
Выбирайте сайты с протоколом https, а не http: вероятность взлома сайтов с http гораздо выше, чем сайтов с https.
Прежде чем вводить логин и пароль на сайте, убедитесь, что в адресной строке браузера указан верный адрес. Фишинговые веб-страницы могут иметь адрес, очень похожий на настоящий (например, yanclex.ru вместо yandex.ru).
Закройте страницу, если в браузере появится сообщение о переходе на подозрительный сайт. Яндекс.Браузер, например, использует панель Protect, отслеживая мошеннические сайты.
Подключите двухфакторную аутентификацию для всех своих аккаунтов.
Подробнее о безопасности в сети читайте в разделе Помощи.
Если с вашего счета незаконно списали денежные средства, заблокируйте карту по телефону и обратитесь в полицию.
Если вы отправляли SMS на короткий номер, указанный мошенниками, попытайтесь вернуть деньги через мобильного оператора или компанию, которой принадлежит этот номер.
Если вы перешли по фишинговой ссылке, проверьте ваш компьютер на вирусы, например, с помощью бесплатных антивирусных программ.
Если вы ввели пароль на поддельной странице, смените пароль, контрольный вопрос и ответ на него после проверки на вирусы.
Если вы ввели пароль на поддельной странице вашего аккаунта на Яндексе, измените пароль, секретный вопрос и ответ на него в Паспорте. Если доступ к аккаунту потерян, воспользуйтесь инструкцией по восстановлению доступа.
Источник