|
Внешняя атака на комп,но антивирусы ничего не видят | ☑ | ||
---|---|---|---|---|
0
barsik123
05.06.14
✎
19:37
|
Есть небольшая сетка на компьютерах с виндовс хп (ip-адреса статические). На одном из компов при использовании любого браузера невозможно нормально работать, т.к. постоянно открываются закладки к различным увеселительным ресурсам казино,девочки и прочее. Когда мне показали думал, сейчас быстро разберусь, оказалось для меня не все так просто,т.к. ни один антивирус,который я пробовал ничего не видит. На компьютере стоит аваст,пробовал лечить куреит,avz,malwarebytes anti-malware. Утилита от касперского вообще не ставилась, просто тупо закрывалась. Пробовал делать откат системы, абсолютно никакой разница, та же проблема. В безопасном режиме те же проблемы. Уже надумал переставлять виндовс, принес комп домой (поставил автоопределние ip-адреса) и чтобы вы думали, все нормально работает.Утилита от касперсокго сразу же поставилась и так же ничего не нашла. Первый раз с таким столкнулся, получается, что идет внешняя атака на этот комп именно в той сети, при этом самого вируса на этом компе нет. Вопрос: если идет атака вируса, почему антивирусы ничего не видят? И что посоветуете для решения проблемы?
|
|||
1
Александр_
Тверь 05.06.14
✎
19:39
|
(0) позови админа.
|
|||
2
Biker
05.06.14
✎
19:40
|
а с чего ты решил это атака ?
может рутер хакнули и днс подменили. |
|||
3
Banned
05.06.14
✎
19:41
|
Во бред....
|
|||
4
Скай
05.06.14
✎
19:41
|
Я бы на роутер посмотрел
|
|||
5
barsik123
05.06.14
✎
19:45
|
(2) Если бы днс подменили, по идее такая проблема должна была быть на всех компах. Завтра буду разбираться с роутером.
|
|||
6
Borometr
05.06.14
✎
19:49
|
outpost firewall выручал в подобных случаях, можно мониторить все процессы которые связаны с выходом в интернет.
|
|||
7
Biker
05.06.14
✎
19:51
|
(5) не факт, например хром кеширует имена , который берет со своих серверов.
|
|||
8
barsik123
05.06.14
✎
20:07
|
(6)Попробую.
(7) На этом компе такая проблема со всеми браузерами: хром,файрфох,ИЕ. |
|||
9
Фомич
05.06.14
✎
20:17
|
Попробовать снять винт и проверить на другой машине?
|
|||
10
barsik123
05.06.14
✎
20:19
|
(6)Попробовал поставить outpost firewall на свой ноут, у меня стоит авиара, ругается,что стоит несовместимое ПО и не хочет ставиться. С кем outpost firewall дружит?
|
|||
11
Vol71
05.06.14
✎
20:39
|
попробуй adblock plus в каждый браузер добавить, обычно всем помогает
|
|||
12
Vol71
05.06.14
✎
20:40
|
+(11)он бесплатный
|
|||
13
KRV
05.06.14
✎
20:40
|
а лучше таки взрослых позвать..
|
|||
14
barsik123
05.06.14
✎
20:49
|
(11)Пробовал, закладки все-оавно открываются, единственно на самой заладке пишется,что ресурс заблокирован adblock. И возникают тормоза.
(13)Скорее молодых) |
|||
15
Скай
05.06.14
✎
21:05
|
адблок это какое-то зарывание головы в песок.. проблема есть, но мы ее спрячем..)
|
|||
16
Death Moroz
05.06.14
✎
21:30
|
0)
>"Утилита от касперского вообще не ставилась" А ставить зачем ? РескуеДиск каспера с сайта скачать религия не позволяет ? В свойствах ярлыков браузеров ссылки на девочек убрать - не ? Сбросить параметры браузеров к первоначальному виду тоже - не ? Короче зови админа ! Внешняя атака на комп в локале - этож надо ;))) |
|||
17
6kubikov
05.06.14
✎
22:06
|
(16) +1
На скомпрометированную систему что-либо ставить бесполезно. Грузись с LiveCD. Настраивай сеть. Обновляй базы и вперед. Вариант 2. Снимай HDD и проверяй на чистой системе. |
|||
18
Jump
05.06.14
✎
22:20
|
(0)Атака нифига не внешняя.
Скорее всего заражена прошивка роутера в итоге идет подмена днс серверов на днс злоумышленников. А те на любой запрос разрешения днс имени выдают айпишники со своими рекламными страничками. |
|||
19
Jump
05.06.14
✎
22:24
|
(0) Вопрос: если идет атака вируса, почему антивирусы ничего не видят?
Ответ - потому что это не вирус. Антивирус эффективно отлавливает только вирусы. Допустим ты напишешь приложение которое будет шифровать все данные на компе, а потом просить денег за расшифровку, пользователь его поставит, сам. Это однозначно очень вредное приложение, но это ни в коем случае не вирус. Это обычное приложение. И никакой антивирус его не найдет. А заставить пользователя поставить любое приложение проще простого - возьми любую популярную программу, сделай к ней инсталлятор, который будет ставить популярную программу, и в фоновом режиме поставит заодно и твою зловредную программу. В итоге антивирус молчит, а пользователь сам ставит себе проблемы. |
|||
20
Death Moroz
05.06.14
✎
22:24
|
(18) Роутер слишком адресно с учётом локалки... а вот etc\hosts я бы глянул.
|
|||
21
Vol71
05.06.14
✎
22:28
|
год назад было похожее, сетка вся забивалась рекламой, в яндексе есть про это
|
|||
22
Garykom
гуру
05.06.14
✎
22:31
|
(0)Да у Вас, батенька, расширеньица к броузеру поставились.
Другой броузер попробуй... |
|||
23
Jump
05.06.14
✎
22:35
|
(20)Ну если автор не врет, и перенос на другой роутер избавил от проблемы то вполне вероятно.
А вообще заражение роутеров становится очень популярным - куча прошивок дырявые насквозь, большинство под паролем admin admin. Разве что админка по умолчанию только на лан адресе, но и это обходится. |
|||
24
Death Moroz
05.06.14
✎
22:36
|
(22) Батеньке скорей всего в свойствах ярлыков браузера нужно поубирать ссылки "C:\Program Files (x86)\Mozilla Firefox\firefox.exe | http://www.xxx.com"
|
|||
25
Death Moroz
05.06.14
✎
22:37
|
(24) Во блин ссылка активная вставилась ;)))
|
|||
26
barsik123
05.06.14
✎
22:49
|
Спасибо всем за комментарии завтра, как доберусь до конторы буду разбираться с роутером, скорее всего проблема в нем.
Да и все-таки не все внимательно читают сабж, поэтому проверять через Live CD или снимать диск и переставлять на другой комп нет смысла,т.к. большинство антивирусов нормально проверяют систему и ничего не находят, etc\hosts я проверял, и я действительно не вру в то, что при переносе компа к себе домой все браузеры работали нормально. Значит с компом все нормально. |
|||
27
IVAL
05.06.14
✎
23:11
|
Видел подобное: во все ярлыки браузеров прописался адрес ресурса (не помню точно, какого; плюс в реестре что-то было и в автозауске). Нагуглил, в чем проблема, по его названию. Антивирус тоже молчал.
|
|||
28
Jump
06.06.14
✎
00:05
|
(26)Насчет лайв сиди я бы не был так категоричен.
Конечно антивирус не найдет ничего если вирусов нет. Но если они есть, зачастую антивирус работающий под той же системой что и вирус не сможет его найти, т.к они там на равных. У антивируса может банально не хватить прав, чтобы прочитать тело вируса. А лайв сиди - это гораздо лучше, антивирус работает в заведомо чистой системе, и просто проверяет файлы на предмет соответствия вирусным сигнатурам. |
|||
29
Jump
06.06.14
✎
00:09
|
Еще момент, насчет - etc\hosts.
Вот ты говоришь что проверял его. На самом деле это не так просто сделать. Чаще всего зараженный hosts выглядит точно так же как и нормальный. Ты просто ничего подозрительного там не увидишь. Существует куча приемов для этого. Самый простейший - то что нужно дописано в конце файла, т.е сначала идет стандартный текст, подом десять страниц пробелов, а потом десяток строчек дописанных вирусом. Если не приглядываться не заметишь. И это самый простой и банальный способ, есть способы покруче. |
|||
30
JedaiMaster
06.06.14
✎
02:43
|
(0) Переустанови Виндовс ХР
|
|||
31
Jump
06.06.14
✎
05:23
|
(30)Переустановка системы это путь джедая?
|
|||
32
Biker
06.06.14
✎
08:11
|
(31) Тогда уж - сотри мастдай, поставь Linux
|
|||
33
tdm
06.06.14
✎
08:18
|
(27) +1, еще можно плагины поискать которые на браузерах стоят
|
|||
34
ifso
06.06.14
✎
09:07
|
стартовая страница со ссылками, не?
|
|||
35
пипец
06.06.14
✎
09:09
|
||||
36
vlandev
06.06.14
✎
10:02
|
Врядли это ярлык с допиской - в этом случае сразу при старте открывается рекламный сайт. Судя по тому что каспер не ставится в системе сидит какой то руткит , были подобные случаи - заражен был tcpip.sys
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |