Имя: Пароль:
IT
Админ
Внешняя атака на комп,но антивирусы ничего не видят
0 barsik123
 
05.06.14
19:37
Есть небольшая сетка на компьютерах с виндовс хп (ip-адреса статические). На одном из компов при использовании любого браузера невозможно нормально работать, т.к. постоянно открываются закладки к различным увеселительным ресурсам казино,девочки и прочее. Когда мне показали думал, сейчас быстро разберусь, оказалось для меня не все так просто,т.к. ни один антивирус,который я пробовал ничего не видит. На компьютере стоит аваст,пробовал лечить куреит,avz,malwarebytes anti-malware. Утилита от касперского вообще не ставилась, просто тупо закрывалась. Пробовал делать откат системы, абсолютно никакой разница, та же проблема. В безопасном режиме те же проблемы. Уже надумал переставлять виндовс, принес комп домой (поставил автоопределние ip-адреса) и чтобы вы думали, все нормально работает.Утилита от касперсокго сразу же поставилась и так же ничего не нашла. Первый раз с таким столкнулся, получается, что идет внешняя атака на этот комп именно в той сети, при этом самого вируса на этом компе нет. Вопрос: если идет атака вируса, почему антивирусы ничего не видят? И что посоветуете для решения проблемы?
1 Александр_
Тверь
 
05.06.14
19:39
(0) позови админа.
2 Biker
 
05.06.14
19:40
а с чего ты решил это атака ?
может рутер хакнули и днс подменили.
3 Banned
 
05.06.14
19:41
Во бред....
4 Скай
 
05.06.14
19:41
Я бы на роутер посмотрел
5 barsik123
 
05.06.14
19:45
(2) Если бы днс подменили, по идее такая проблема должна была быть на всех компах. Завтра буду разбираться с роутером.
6 Borometr
 
05.06.14
19:49
outpost firewall выручал в подобных случаях, можно мониторить все процессы которые связаны с выходом в интернет.
7 Biker
 
05.06.14
19:51
(5) не факт, например хром кеширует имена , который берет со своих серверов.
8 barsik123
 
05.06.14
20:07
(6)Попробую.
(7) На этом компе такая проблема со всеми браузерами: хром,файрфох,ИЕ.
9 Фомич
 
05.06.14
20:17
Попробовать снять винт и проверить на другой машине?
10 barsik123
 
05.06.14
20:19
(6)Попробовал поставить outpost firewall на свой ноут, у меня стоит авиара, ругается,что стоит несовместимое ПО и не хочет ставиться. С кем outpost firewall дружит?
11 Vol71
 
05.06.14
20:39
попробуй adblock plus в каждый браузер добавить, обычно всем помогает
12 Vol71
 
05.06.14
20:40
+(11)он бесплатный
13 KRV
 
05.06.14
20:40
а лучше таки взрослых позвать..
14 barsik123
 
05.06.14
20:49
(11)Пробовал, закладки все-оавно открываются, единственно на самой заладке пишется,что ресурс заблокирован adblock. И возникают тормоза.
(13)Скорее молодых)
15 Скай
 
05.06.14
21:05
адблок это какое-то зарывание головы в песок.. проблема есть, но мы ее спрячем..)
16 Death Moroz
 
05.06.14
21:30
0)
>"Утилита от касперского вообще не ставилась"
А ставить зачем ? РескуеДиск каспера с сайта скачать религия не позволяет ? В свойствах ярлыков браузеров ссылки на девочек убрать - не ? Сбросить параметры браузеров к первоначальному виду тоже - не ? Короче зови админа !

Внешняя атака на комп в локале - этож надо ;)))
17 6kubikov
 
05.06.14
22:06
(16) +1
На скомпрометированную систему что-либо ставить бесполезно. Грузись с LiveCD. Настраивай сеть. Обновляй базы и вперед.

Вариант 2. Снимай HDD и проверяй на чистой системе.
18 Jump
 
05.06.14
22:20
(0)Атака нифига не внешняя.
Скорее всего заражена прошивка роутера в итоге идет подмена днс серверов на днс злоумышленников.
А те на любой запрос разрешения днс имени выдают айпишники со своими рекламными страничками.
19 Jump
 
05.06.14
22:24
(0) Вопрос: если идет атака вируса, почему антивирусы ничего не видят?
Ответ - потому что это не вирус.
Антивирус эффективно отлавливает только вирусы.

Допустим ты напишешь приложение которое будет шифровать все данные на компе, а потом просить денег за расшифровку, пользователь его поставит, сам.
Это однозначно очень вредное приложение, но это ни в коем случае не вирус. Это обычное приложение. И никакой антивирус его не найдет.
А заставить пользователя поставить любое приложение проще простого - возьми любую популярную программу, сделай к ней инсталлятор, который будет ставить популярную программу, и в фоновом режиме поставит заодно и твою зловредную программу.
В итоге антивирус молчит, а пользователь сам ставит себе проблемы.
20 Death Moroz
 
05.06.14
22:24
(18) Роутер слишком адресно с учётом локалки... а вот etc\hosts я бы глянул.
21 Vol71
 
05.06.14
22:28
год назад было похожее, сетка вся забивалась рекламой, в яндексе есть про это
22 Garykom
 
гуру
05.06.14
22:31
(0)Да у Вас, батенька, расширеньица к броузеру поставились.
Другой броузер попробуй...
23 Jump
 
05.06.14
22:35
(20)Ну если автор не врет, и перенос на другой роутер избавил от проблемы то вполне вероятно.

А вообще заражение роутеров становится очень популярным - куча прошивок дырявые насквозь, большинство под паролем admin admin.
Разве что админка по умолчанию только на лан адресе, но и это обходится.
24 Death Moroz
 
05.06.14
22:36
(22) Батеньке скорей всего в свойствах ярлыков браузера нужно поубирать ссылки "C:\Program Files (x86)\Mozilla Firefox\firefox.exe | http://www.xxx.com";
25 Death Moroz
 
05.06.14
22:37
(24) Во блин ссылка активная вставилась ;)))
26 barsik123
 
05.06.14
22:49
Спасибо всем за комментарии завтра, как доберусь до конторы буду разбираться с роутером, скорее всего проблема в нем.
Да и все-таки не все внимательно читают сабж, поэтому проверять через Live CD или снимать диск и переставлять на другой комп нет смысла,т.к. большинство антивирусов нормально проверяют систему и ничего не находят, etc\hosts я проверял, и я действительно не вру в то, что при переносе компа к себе домой все браузеры работали нормально. Значит с компом все нормально.
27 IVAL
 
05.06.14
23:11
Видел подобное: во все ярлыки браузеров прописался адрес ресурса (не помню точно, какого; плюс в реестре что-то было и в автозауске). Нагуглил, в чем проблема, по его названию. Антивирус тоже молчал.
28 Jump
 
06.06.14
00:05
(26)Насчет лайв сиди я бы не был так категоричен.
Конечно антивирус не найдет ничего если вирусов нет.

Но если они есть, зачастую антивирус работающий под той же системой что и вирус не сможет его найти, т.к они там на равных. У антивируса может банально не хватить прав, чтобы прочитать тело вируса.
А лайв сиди - это гораздо лучше, антивирус работает в заведомо чистой системе, и просто проверяет файлы на предмет соответствия вирусным сигнатурам.
29 Jump
 
06.06.14
00:09
Еще момент, насчет - etc\hosts.
Вот ты говоришь что проверял его.
На самом деле это не так просто сделать.
Чаще всего зараженный hosts выглядит точно так же как и нормальный.
Ты просто ничего подозрительного там не увидишь.
Существует куча приемов для этого.
Самый простейший - то что нужно дописано в конце файла, т.е сначала идет стандартный текст, подом десять страниц пробелов, а потом десяток строчек дописанных вирусом.
Если не приглядываться не заметишь.
И это самый простой и банальный способ, есть способы покруче.
30 JedaiMaster
 
06.06.14
02:43
(0) Переустанови Виндовс ХР
31 Jump
 
06.06.14
05:23
(30)Переустановка системы это путь джедая?
32 Biker
 
06.06.14
08:11
(31) Тогда уж - сотри мастдай, поставь Linux
33 tdm
 
06.06.14
08:18
(27) +1, еще можно плагины поискать которые на браузерах стоят
34 ifso
 
06.06.14
09:07
стартовая страница со ссылками, не?
35 пипец
 
06.06.14
09:09
36 vlandev
 
06.06.14
10:02
Врядли это ярлык с допиской - в этом случае сразу при старте открывается рекламный сайт. Судя по тому что каспер не ставится в системе сидит какой то руткит , были подобные случаи - заражен был tcpip.sys