Как вылечить подмену страница
Добрый день!
Один из моих подконтрольных менеджеров на работе получил подмену гугла/яндекса во всех браузерах. Сайты выглядят одинаково с оригинальными, но просят ввести телефон для «разблокирования доступа к поиску».
Cureit нашел руткит, удалил его — подмена сохранена. Virus Removal Tool ничего не нашел, Trojan Remover находит что то каждый раз, удаляет, после перезагрузки все то же самое…
Кто-нибудь сталкивался с конкретным зверем? Как это лечить?
Посоветуйте пожалуйста альтернативу cureit/virus removal tool.
На компьютере кстати стоит AVG internet security последний… И в нём тишина.
Вопрос задан
более трёх лет назад
15399 просмотров
Ну коли avz не помогает, то поможет «мощное оружие, бьющее точно в цель» — запустите на пациенте ComboFix — www.bleepingcomputer.com/combofix/how-to-use-combofix
если и он не поможет даже после пары запусков (дождайтесь вывода отчета о проверке в Блокноте), то только ручками искать (составляя отчет в avz и отправляя на virus total или подобное) или переставлять.
Могу еще порекомендовать проверить комп при помощи вот этого антивируса — он больше специализируется на троянах и прочей гадости — www.malwarebytes.org/
Скачайте бесплатную версию, установите и запустите проверку например всего диска С:.
Платная отличается только резидентным модулем.
Пригласить эксперта
Проверьте ключ в реестре
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
Значение данного ключа равно следующему значению?
%SystemRoot%system32driversetchosts
ну логично же что либо прописана лажа в файле hosts или же сменили адреса днс серверов.
Ой, а может проблема не на компьютере, а например, на зараженном ДНС-сервере в локалке? Или зараженном роутере? Или зараженный сосед-компьютер подделывает DNS-ответы? Можете сделать с зараженного компьютера nslookup google.com 8.8.8.8? Это отправка ДНС-запроса напрямую в Гугл. Она дложна вернуть что-то вроде этого:
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: google.com
Addresses: 173.194.71.100, 173.194.71.102, 173.194.71.113, 173.194.71.101
173.194.71.139, 173.194.71.138
Лечил такое на днях с помощью DrWev Cureit
Попробуйте файл C:Windowssystem32rpcss.dll проверить на virustotal. Если заражен — заменить с такой же системы.
HijackThis и курить логи…
К слову, полученный вами IP 74.125.232.225 принадлежит действительно гуглу. Может дело в проксе?
18 сент. 2020, в 00:36
35000 руб./за проект
17 сент. 2020, в 22:42
3000 руб./за проект
17 сент. 2020, в 22:20
10000 руб./за проект
Источник
В последнее время в Рунете появилось вредоносное программное обеспечение нового типа – программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем.
В строгом понимании термина «вирус» эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов, поэтому условимся называть такое ПО «вирусом подмены страниц». При обращении пользователя, компьютер которого заражен таким вирусом, к поисковой системе вирус изменяет один из результатов поиска. Таким образом, пользователь переходит не на сайт, найденный поисковой системой, а на какой-то другой.
Эта проблема существует для всех популярных в Рунете поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.
Вирус подмены страниц может попасть на компьютер вместе с какой-нибудь программой, загруженной из интернета. Например, вместе с бесплатным ускорителем закачки файлов BitAccelerator, который предоставляется файлообменным сервисом Letitbit.net. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении BitAccelerator.
Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:
- Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
- Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.
Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.
Схема работы мошенников выглядит следующим образом:
- Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
- Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
- Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников – поэтому рекламодатель заплатит за этот переход.
В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию – обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи.
До недавнего времени антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт – не особо полезный, но вроде бы и не вредный. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, «Лаборатория Касперского», ESET (NOD32), Panda Security обнаруживают и автоматически удаляют все известные версии вируса подмены страниц.
Кроме того, можно избавиться от вируса при помощи утилиты Касперского или CureIt от “Доктора Веба”.
Мы рассчитываем на то, что вместе с антивирусными компаниями нам удастся остановить распространение вируса и появление его новых образцов.
Если вы подозреваете, что ваш компьютер заражен вирусом подмены страниц, пишите по адресу – safesearch@yandex-team.ru. Мы обязательно поможем.
Александр Садовский
Источник
Автор | Сообщение | ||
---|---|---|---|
ALEXRIME |
| ||
Member Статус: Не в сети | при выходе на страницу поиска например янедекс, гугл, рамблер сайт заменятся ( сразу меняет, не дает загрузить яндек гугл рамблер ) на другой сайт (левый Вконтакте с просьбой отослать смс на на номер ) как вылечить эту проблемку?:shock::shock::shock::oops: |
Реклама | |
Партнер |
Hil | |
Advanced member Статус: Не в сети | ALEXRIME загляни для начала в файл hosts (windowssystem32driversetchosts – БЕЗ РАСШИРЕНИЯ, открывать текстовым редактором вроде Блокнота). Цитата: 127.0.0.1 localhost Все другие строки можно удалить. Особенно – если там есть адреса яндекса и других сайтов. Правда, без гарантии, что это вылечит причину, но зайти на яндекс будет можно. Обычно именно так возникает данная проблема. _________________ |
ALEXRIME | |
Member Статус: Не в сети | так у меня стоит виндовс 7 _________________ |
alpet | |
Member Статус: Не в сети | ALEXRIME _________________ |
targitaj | |
Member Статус: Не в сети | Качать, ставить и прогонять SpyBot. _________________ |
Hil | |
Advanced member Статус: Не в сети | ALEXRIME www.opera.com ) или Google Chrome. Если там всё ОК, то да, это надстройки браузера. Если там всё то же, то это либо hosts, как я написал, либо где-то сидит хитрый прокси. _________________ |
ромыч12358 | |
Member Статус: Не в сети | я такое лечил в ХР тока зачисткой реестра,и смены браузера на оперу… _________________ |
gamerka | |
Member Статус: Не в сети | сейчас эпидемия подобной заразы, лечится как сказал Hil |
Silent forest | |
Member Статус: Не в сети | Если в других броузерах все нормально, то есть еще вариант: пкм по значку эксплорера на рабстоле- свойства-программы-надстройки и там отключить все (подозрительное) нафиг. _________________ |
–
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17 |
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения |
ÐабоÑаÑоÑиÑ
Источник
Благодаря довольно известному файлообменному ресурсу LetItBit, тысячи пользователей, установивших ихний бар в свои браузеры, заразились так называемым “вирусом подмены страниц”. Далее цитирую:
В последнее время в Рунете появилось вредоносное программное обеспечение нового типа – программы, созданные для искажения страниц в браузере пользователя. Поскольку нас интересует поиск, мы рассмотрим деятельность этих программ в контексте поисковых систем.
В строгом понимании термина «вирус» эти программы вирусами не являются, однако механизм их работы очень похож на деятельность вирусов, поэтому условимся называть такое ПО «вирусом подмены страниц». При обращении пользователя, компьютер которого заражен таким вирусом, к поисковой системе вирус изменяет один из результатов поиска. Таким образом, пользователь переходит не на сайт, найденный поисковой системой, а на какой-то другой.
Эта проблема существует для всех популярных в Рунете поисковиков – для Яндекса, Google, Рамблера, MSN (Live). Кроме того, вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.
Вирус подмены страниц может попасть на компьютер вместе с какой-нибудь программой, загруженной из интернета. Например, вместе с бесплатным ускорителем закачки файлов BitAccelerator, который предоставляется файлообменным сервисом Letitbit.net. Вместе с этой программой пользователь скачивает скрытую библиотеку. Эта библиотека остается на компьютере пользователя и при удалении BitAccelerator.
Чаще всего на зараженном компьютере вирус ведет себя одним из двух способов:
* Вирус подменяет html-код страницы с результатами поиска, подставляя вместо одного из результатов ссылку и описание другого сайта. Дизайн и общий вид подмененной позиции похожи на обычные результаты поиска, но сам сайт к заданному запросу отношения не имеет. Например, по запросу [самолет] выводится порносайт, или по запросу [Яндекс] – сайт другой компании. Если задать тот же самый запрос еще раз, нерелевантный сайт исчезнет из результатов поиска.
* Другой вариант появился позднее, возможно, вследствие того, что пользователи меньше кликали по нерелевантным ответам. По запросу пользователя страница выдачи не изменяется, но при переходе по одному из первых результатов поиска вирус переадресовывает пользователя на другой сайт.
Вирус подмены страниц используется для воровства и продажи трафика – с его помощью можно получить, по самым скромным оценкам, несколько сот тысяч переходов в день. Переходы пользователей продаются рекламодателям как контекстная реклама.
Схема работы мошенников выглядит следующим образом:
* Рекламодатель заказывает рекламу сайта по определенным ключевым словам. Эти слова передаются в программу, работающую на удаленном сервере злоумышленников.
* Когда пользователь заходит с зараженного компьютера на сайт какой-нибудь поисковой системы и вводит запрос в строке поиска, вирус активизируется и передает запрос на сервер мошенников. Если этот запрос содержится в программе, в ответ приходит адрес сайта, который подставляется в выдачу поисковика.
* Пользователь переходит по ложной ссылке и уходит, решив, что поисковая система дала ему нерелевантный ответ. При этом вирус модифицирует HTTP-запрос таким образом, что в логи посещенного сайта записывается переход с рекламной сети мошенников – поэтому рекламодатель заплатит за этот переход.
В результате проигрывают все – кроме авторов вируса, конечно. Пользователь не находит нужную информацию. Рекламодатель платит за нецелевой трафик. Поисковая система теряет репутацию – обнаружив последствия работы вируса подмены, некоторые пользователи обвиняют поисковики в продаже мест на первых страницах выдачи.
До недавнего времени антивирусные компании классифицировали вирусы подмены страниц просто как рекламный софт – не особо полезный, но вроде бы и не вредный. В результате совместных с нами обсуждений и исследований большинство антивирусных компаний пришло к выводу, что такие программы представляют несомненную угрозу. Сейчас большинство производителей антивирусов перевели вирусы подмены страниц в класс вредоносного и опасного ПО. Антивирусы компаний Dr.Web, «Лаборатория Касперского», ESET (NOD32), Panda Security обнаруживают и автоматически удаляют все известные версии вируса подмены страниц.
Яндекс.Вебмастер ®
Так вот скачав этот самый бар, я заразился этим вирусом. Паразитирует он временами почему-то.
Утилита CureIt от “Доктора Веба” казалось помогла, удалив какую-то .dll библиотеку, но в гугле так страницы и меняются(
Подскажите что делать, прям отчаился уже… самые ревалентные результаты жрёт сволочь
Источник
Поймали вирус в браузере, и теперь постоянно выскакивает реклама? Это ужасно раздражает. Да и вылечить браузер от вирусов не так-то просто. Их еще нужно найти, а многие современные антивирусы попросту не видят эту заразу. Собственно, поэтому у вас и появляются всплывающие окна, а также постоянно открываются рекламные страницы (например, Вулкан или других казино).
Так что делать, если браузер заражен вирусом? Найти и избавиться от него ???? . Специально для этого ниже приведено 6 эффективных способов, как удалить вирус из браузера. А в качестве бонуса – пару полезных советов о том, как защитить свой компьютер или ноутбук от повторного заражения.
А есть ли вирус в браузере
Как понять, что браузер был заражен? Это можно увидеть по следующим симптомам:
- Появилось слишком много рекламных баннеров. Даже на тех сайтах, где рекламы раньше не было. И даже при условии, что у вас установлен Adblock или Adguard.
- Периодически появляются просьбы отправить SMS-сообщение на короткие номера. Причем они выскакивают на доверенных сайтах вроде Вконтакте. Вирус в браузере полностью копирует внешний вид сайта (например, того же ВК), а на самом деле это совершенно другой веб-ресурс. Хотя внешне их вообще не отличить.
- Появление сообщений о том, что через пару дней ноутбук или компьютер будет заблокирован. Или о том, что нужно обновить Adobe Flash Player (разумеется, этого делать не следует).
- Появление видео и картинок эротического содержания.
- Открытие новых вкладок в браузере без вашего разрешения.
Откуда в браузере появляются вирусы
Современные пользователи очень часто устанавливают игры, программы, расширения и вообще не смотрят, что именно ставят. Просто нажимают «Далее, далее, готово» – и вот еще один рекламный вирус незаметно пролез в вашу систему Windows. В результате появляются всплывающие окна, открываются рекламные страницы и пр.
И в 99% случаев виноват сам пользователь. Почему? Да потому, что обычно лечение браузера от вирусов требуется после:
- Установки софта через специальные «установщики». Это, пожалуй, наиболее распространенная причина. Установщики – это exe-файлы размером около 1 Мб. Понятно, что в них не поместится никакая программа, фильм, музыка. А вот вирусы – легко. Поэтому, если вы хотите загрузить фильм, а вам предлагают exe-файл размером 1-2 Мб – закройте этот сайт и найдите другой. Целее будете.
- Загрузки файла с файлообменников. Depositfiles и прочие его аналоги – та еще чепуха. Мало того, что скорость 30 Кб/с, так еще пытаются наставить вам кучу ненужных программ и заразить вирусами. Поэтому лучше с них ничего не качать. Но если очень нужно – тогда проверяйте наличие галочек и отключайте их.
- Установки нелицензионных программ, загруженных с неизвестных сайтов. Опять же: пока не проверите все галочки – не нажимайте кнопку «Далее». Ведь вместе с браузером Амиго может установиться еще парочка рекламных вирусов.
- Посещения фишинговых и адалт-сайтов. Не рекомендуется открывать сомнительные ссылки в соцсетях или из спамных писем, которые приходят на вашу почту. Про adult-сайты говорить нечего – тут и так ясно.
Сюда же можно добавить отсутствие антивируса на ПК или ноутбуке. Конечно, от всех вирусов он вас не защитит, но некоторые все же обнаружит и удалит. А если думать головой и вручную проверять подозрительные файлы антивирусом, это поможет вам избежать многих проблем. В этом можете быть уверены.
Если ваш ПК или ноутбук еще не защищен, тогда обязательно прочитайте эту статью: Самые лучшие бесплатные антивирусы для компьютера.
Как почистить браузер от вирусов и рекламы
С причинами и симптомами вирусов разобрались, теперь перейдем к главному. Итак, как избавиться от рекламного вируса в браузере? Здесь все зависит от того, какую именно заразу вы словили. Впрочем, ниже приведена пошаговая инструкция, выполнив которую вы сможете вылечить браузер от различных рекламных вирусов.
Она является универсальной и подходит для любого интернет-браузера – Google Chrome, Opera, Mozilla Firefox, Yandex Browser, Microsoft Edge. Так что пользоваться ею могут все пользователи.
Итак, чтобы избавиться от вирусов в браузере, выполните следующие действия:
Запустите полную проверку ПК или ноутбука антивирусом
Если в браузере появилась реклама, это нужно сделать в первую очередь. От рекламных баннеров антивирус не поможет, зато он найдет вирусы на ПК (а они могут быть и в самой системе Windows).
Проверьте дополнения в браузере
Некоторые расширения устанавливаются сами. Поэтому зайдите в браузер и проверьте, есть ли там дополнения, которые вы не ставили. Также рекомендуется удалить те из них, которыми не пользуетесь.
Проверьте установленные приложения
Чтобы открыть их, перейдите в Пуск – Панель управления – Программы и компоненты.
Иногда вредоносные модули устанавливаются как обычный софт (например, Webalta). Чтобы удалить вирус, запускающий рекламу в браузере, достаточно лишь найти его и удалить из этого списка.
Проверьте ярлык браузера
Если после его запуска сразу открывается страница Вулкана или другого рекламного сайта, то, скорее всего, проблема кроется в ярлыке. Иногда вирусы прописывают в свойствах ярлыка (в поле «Объект») адрес сайта, который и открывается при запуске браузера. Чтобы решить эту проблему, удалите ярлык и создайте новый.
Проверьте файл hosts
Также многие вирусы редактируют и этот файлик. В результате при открытии какого-то популярного веб-сайта открывается другой (внешне он выглядит так же, и разницы вы не заметите). А далее появляются сообщения с просьбой отправить смс, всплывающие окна, агрессивная реклама и т.д. Убрать этот рекламный вирус можно двумя способами. Первый – с помощью антивирусной утилиты AVZ. А второй – вручную. Для этого:
- Перейдите по пути C:WindowsSystem32driversetc.
- Откройте файл hosts через блокнот.
- Удалите лишние строчки. Нормальный файл hosts должен выглядеть следующим образом:
Подробнее читайте тут: Как очистить файл hosts?
Программы для очистки браузера от вирусов
Также существуют специальные программы для удаления вирусов в браузере. Они видят то, что пропустили антивирусы и помогают избавиться от вредоносных рекламных модулей.
AdwCleaner
Первая отличная программа для очистки браузера от рекламы и вирусов – AdwCleaner (ссылка на оф. сайт).
Эта утилита выполнит быстрый поиск вирусов в браузере и найдет все рекламные тулбары, баннеры, вредоносные скрипты. Также умеет осуществлять очистку ярлыков, файлов и реестра.
Malwarebytes
Еще одна эффективная программа для чистки браузеров от вирусов. Быстро просканирует ПК или ноутбук и поможет избавиться от всплывающих окон и надоевшей рекламы (ссылка на оф. сайт).Ее возможностей более чем предостаточно, чтобы найти вирус в браузере и удалить его.
Рекомендуется использовать обе эти программы одновременно. Вместе они на 95% очистят ваш компьютер от всех рекламных вирусов. Причем найдут даже то, о чем вы и не подозревали.
Также есть еще и другие отличные программы. Подробнее о них читайте здесь – Утилиты для удаления рекламных вирусов.
Защита браузера от рекламы и вирусов
И напоследок, как и обещал, приведу несколько полезных советов о том, как защитить браузер от вирусов:
- Установите на ноутбук или ПК антивирус. Можно бесплатный. Главное – не забывайте обновлять его (или включите автообновление). В половине случаев он поможет вам удалить вирус из браузера. А точнее – не допустить заражения. Рекомендую прочитать: ТОП антивирусов для Windows 10.
- Установите программу для удаления рекламных вирусов. То, что пропустят антивирусы, заметят специальные утилиты вроде AdwCleaner или HitmanPRO. При таком сочетании ни одна зараза на ваш ПК просто не пролезет. А для собственного спокойствия периодически запускайте проверку браузера на вирусы (например, 1 раз в месяц).
- Установите расширение в браузере для блокировки рекламы. Это может быть Adblock или Adguard – на ваше усмотрение. А если захотите отключить рекламу на любимом сайте или блоге (чтобы поддержать его владельца материально), просто добавьте этот веб-ресурс в исключение.
И самое главное: думайте головой! Не загружайте подозрительные exe-файлы (особенно, если вам нужен фильм в формате avi или mkv), не переходите по неизвестным ссылкам, не заходите на сомнительные сайты.
Как говорится, самый лучший антивирус – тот, который сидит по ту сторону монитора ???? . То есть, пользователь. Если же вы будете нарушать вышеописанные правила, то никакой антивирус вам не поможет. В интернете нужно быть предельно осторожным – помните об этом!
Это интересно: Проверка на вирусы в онлайн режиме
Источник