Задать вопрос
Equillibrium
@Equillibrium
антивирусы

Подмена страниц гугла/яндекса, как лечить?

Добрый день!
Один из моих подконтрольных менеджеров на работе получил подмену гугла/яндекса во всех браузерах. Сайты выглядят одинаково с оригинальными, но просят ввести телефон для «разблокирования доступа к поиску».image
Cureit нашел руткит, удалил его — подмена сохранена. Virus Removal Tool ничего не нашел, Trojan Remover находит что то каждый раз, удаляет, после перезагрузки все то же самое…

Кто-нибудь сталкивался с конкретным зверем? Как это лечить?
Посоветуйте пожалуйста альтернативу cureit/virus removal tool.

На компьютере кстати стоит AVG internet security последний… И в нём тишина.
  • Вопрос задан
  • 16595 просмотров
Комментировать
Подписаться 16 Оценить Комментировать
Решения вопроса 1
ZUZ
@ZUZ
Ну коли avz не помогает, то поможет «мощное оружие, бьющее точно в цель» — запустите на пациенте ComboFix — www.bleepingcomputer.com/combofix/how-to-use-combofix
если и он не поможет даже после пары запусков (дождайтесь вывода отчета о проверке в Блокноте), то только ручками искать (составляя отчет в avz и отправляя на virus total или подобное) или переставлять.
Могу еще порекомендовать проверить комп при помощи вот этого антивируса — он больше специализируется на троянах и прочей гадости — www.malwarebytes.org/
Скачайте бесплатную версию, установите и запустите проверку например всего диска С:.
Платная отличается только резидентным модулем.
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ответы на вопрос 8
xrays72
@xrays72
Проверьте ключ в реестре 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath

Значение данного ключа равно следующему значению?
%SystemRoot%\system32\drivers\etc\hosts
Ответ написан
1 комментарий
1 комментарий
Mx21
@Mx21
Software engineer
Попробуйте пройтись еще AVZ — z-oleg.com/secur/avz/download.php. Пару раз выручала, когда cureit ничего не находил. Правда, базы там сейчас не самые свежие.
Ответ написан
1 комментарий
1 комментарий
opium
@opium
Просто люблю качественно работать
ну логично же что либо прописана лажа в файле hosts или же сменили адреса днс серверов.
Ответ написан
3 комментария
3 комментария
@egorinsk
Ой, а может проблема не на компьютере, а например, на зараженном ДНС-сервере в локалке? Или зараженном роутере? Или зараженный сосед-компьютер подделывает DNS-ответы? Можете сделать с зараженного компьютера nslookup google.com 8.8.8.8? Это отправка ДНС-запроса напрямую в Гугл. Она дложна вернуть что-то вроде этого:

Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: google.com
Addresses: 173.194.71.100, 173.194.71.102, 173.194.71.113, 173.194.71.101
173.194.71.139, 173.194.71.138
Ответ написан
1 комментарий
1 комментарий
d4rkr00t
@d4rkr00t
Лечил такое на днях с помощью DrWev Cureit
Ответ написан
1 комментарий
1 комментарий
@Valeftin
Попробуйте файл C:\Windows\system32\rpcss.dll проверить на virustotal. Если заражен — заменить с такой же системы.
Ответ написан
1 комментарий
1 комментарий
@vilgeforce
Раздолбай и программист
HijackThis и курить логи…
Ответ написан
Комментировать
Комментировать
Mear
@Mear
К слову, полученный вами IP 74.125.232.225 принадлежит действительно гуглу. Может дело в проксе?
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Технический писатель
Автомакон
от 99 000 до 119 000 ₽
JavaScript FullStack Middle разработчик
Rocket Смоленск
от 80 000 до 130 000 ₽
Data Engineer
СОТКА
от 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Рефакторинг проекта на Next.js 14 с использованием TypeScript
02 нояб. 2024, в 10:39
30000 руб./за проект
Перестали приходить заявки на почту ( Yii)
02 нояб. 2024, в 10:19
3000 руб./за проект
Поправить главную в елементор
02 нояб. 2024, в 09:32
4000 руб./за проект
Ещё заказы