Подмена страниц гугла/яндекса, как лечить?

Добрый день!
Один из моих подконтрольных менеджеров на работе получил подмену гугла/яндекса во всех браузерах. Сайты выглядят одинаково с оригинальными, но просят ввести телефон для «разблокирования доступа к поиску».image
Cureit нашел руткит, удалил его — подмена сохранена. Virus Removal Tool ничего не нашел, Trojan Remover находит что то каждый раз, удаляет, после перезагрузки все то же самое…

Кто-нибудь сталкивался с конкретным зверем? Как это лечить?
Посоветуйте пожалуйста альтернативу cureit/virus removal tool.

На компьютере кстати стоит AVG internet security последний… И в нём тишина.
  • Вопрос задан
  • 16601 просмотр
Решения вопроса 1
ZUZ
@ZUZ
Ну коли avz не помогает, то поможет «мощное оружие, бьющее точно в цель» — запустите на пациенте ComboFix — www.bleepingcomputer.com/combofix/how-to-use-combofix
если и он не поможет даже после пары запусков (дождайтесь вывода отчета о проверке в Блокноте), то только ручками искать (составляя отчет в avz и отправляя на virus total или подобное) или переставлять.
Могу еще порекомендовать проверить комп при помощи вот этого антивируса — он больше специализируется на троянах и прочей гадости — www.malwarebytes.org/
Скачайте бесплатную версию, установите и запустите проверку например всего диска С:.
Платная отличается только резидентным модулем.
Ответ написан
Пригласить эксперта
Ответы на вопрос 8
xrays72
@xrays72
Проверьте ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath

Значение данного ключа равно следующему значению?
%SystemRoot%\system32\drivers\etc\hosts
Ответ написан
Mx21
@Mx21
Software engineer
Попробуйте пройтись еще AVZ — z-oleg.com/secur/avz/download.php. Пару раз выручала, когда cureit ничего не находил. Правда, базы там сейчас не самые свежие.
Ответ написан
opium
@opium
Просто люблю качественно работать
ну логично же что либо прописана лажа в файле hosts или же сменили адреса днс серверов.
Ответ написан
@egorinsk
Ой, а может проблема не на компьютере, а например, на зараженном ДНС-сервере в локалке? Или зараженном роутере? Или зараженный сосед-компьютер подделывает DNS-ответы? Можете сделать с зараженного компьютера nslookup google.com 8.8.8.8? Это отправка ДНС-запроса напрямую в Гугл. Она дложна вернуть что-то вроде этого:

Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: google.com
Addresses: 173.194.71.100, 173.194.71.102, 173.194.71.113, 173.194.71.101
173.194.71.139, 173.194.71.138
Ответ написан
d4rkr00t
@d4rkr00t
Лечил такое на днях с помощью DrWev Cureit
Ответ написан
@Valeftin
Попробуйте файл C:\Windows\system32\rpcss.dll проверить на virustotal. Если заражен — заменить с такой же системы.
Ответ написан
@vilgeforce
Раздолбай и программист
HijackThis и курить логи…
Ответ написан
Комментировать
К слову, полученный вами IP 74.125.232.225 принадлежит действительно гуглу. Может дело в проксе?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы