Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 23.03.2013, 19:11   [включить плавающее окно]   #1
WestGott
Мужской Умудрённый
Автор темы
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Фишинг mail.ru

Привет всем
Моя знакомая подцепила в свой компьютер, какой-то зловреда.
Данный зловред каким-то образом подменяет ресурс "mail.ru" при попытке зайти в почтовый ящик.

В любом браузере при попытке зайти в почтовый ящик на mail.ru, выдаётся страница.
С текстом:

Цитата
С вашего почтового ящика зафиксирована рассылка спама, поэтому мы были вынуждены его заблокировать. Для восстановления работы необходимо сменить пароль в ящике на более сложный и указать номер мобильного телефона.
Ящик в который я пробовал зайти на заражённом компьютере - реально доступен.
Так как со своего компьютера мне удалось в него войти без всяких проблем.

Диск "C:" был просканен Kaspersky Rescue Disk со свежими базами.
KRD убил пару тушек вирей, которые прятались в "System Volume Information".
Однако, проблему это не решило.
Проверка файла hosts ничего не выявила, кроме того, что в папке было два файла с именем hosts, во втором файле буква "о" была русской. Один из них был нулевой длинны, а второй имел вполне валидное содержание, шапка – коментрий и одна строка:
127.0.0.1 localhost

таким образом получается что в hosts всё тип-топ.
Я пролез настройки браузеров на предмет какого-нибудь прокси - всё чисто.
Решил поставить Оперу. Поставил, пробую заходить на ящик, та же песня.

Решил поставить небольшой эксперимент.
в файл hosts добавил строчку
127.0.0.1 mail.ru

Перезагрузил комп.
Запускаю браузер, набираю mail.ru и mail загружается. Хотя вообще-то не должен.
Такие вот чудеса.

Ещё я провёл скан AVZ
Ниже привожу выдержку из его лога:
Цитата
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [BADCB16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [BADCAFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [BADCB16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [BADCAFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный

...

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\dbrlcfe.dll --> Подозрение на Keylogger или троянскую DLL
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\dbrlcfe.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Mail.Ru\Guard\GuardMailRu.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Mail.Ru\Guard\GuardMailRu.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

...

7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\dbrlcfe.dll"
Проверка завершена
Переустановка системы не представляется возможной, в силу того, что на системе есть ряд программ нужных моей знакомой, дистрибутивов которых нет ни у меня ни у ней.

ОС Windows XP Pro SP-3 (OEM-лицензия), правда, дистрибутив и ключ успешно потеряны хозяйкой.

Короче, "пациента" нельзя убить и клонировать нового здорового, "пациенту" нужна хирургическая операция - по обнаружению и обезвреживанию зловреда без убийства "пациента" (системы)

Прошу помощи.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 23.03.2013 в 19:28.
WestGott вне форума  
Ответить с цитированием
Непрочитано 23.03.2013, 19:13   [включить плавающее окно]   #2
DarkJoney
Мужской Абсолютный
 
Регистрация: 07.10.2010
WestGott
Отображение скрытых файлов включено?
DarkJoney вне форума  
Ответить с цитированием
Непрочитано 23.03.2013, 19:15   [включить плавающее окно]   #3
WestGott
Мужской Умудрённый
Автор темы
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
DarkJoney
Конечно.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 23.03.2013, 20:50   [включить плавающее окно]   #4
WestGott
Мужской Умудрённый
Автор темы
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Проблема решена при помощи AVZ4
Я запустил в AVZ4 скрипт под названием:
"Cкрипт обновления, лечения и сбора информации Raspersky Lab"

Инструкцию по тому, как это сделать, можно посмотреть здесь
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 23.03.2013, 20:57   [включить плавающее окно]   #5
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
dbrlcfe.dll - само имя файла уже намекает
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 23.03.2013, 23:34   [включить плавающее окно]   #6
abraxas
Женский Недосягаемый
 
Аватар для abraxas
 
Регистрация: 10.11.2003
Адрес: EU
Каспер купил AVZ?
abraxas вне форума  
Ответить с цитированием
Непрочитано 24.03.2013, 08:34   [включить плавающее окно]   #7
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
abraxas
http://www.kaspersky.ru/news?id=207732495
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.03.2013, 16:03   [включить плавающее окно]   #8
vot
Мужской Запрещенный
 
Регистрация: 15.01.2013
Адрес: Москва
msconfig
смотрим, что живёт в автозагрузке.

regedit
ctrl+f
mail.ru
enter
удаляем всё к едреней маме..

У знакомой была такая же примерно шняга, только с yandex.ru из под хрома открывался подменный сайт..
vot вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.03.2013, 21:49   [включить плавающее окно]   #9
WestGott
Мужской Умудрённый
Автор темы
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
vot
Там не в браузере дело.
Даже со свежеустановленной Оперы происходила подмена сайта mail.ru
Зловред крылся в системных файлах отвечающих за ресольвинг доменных имён.

Скрипт запущенный в AVZ - это обнаружил и пофиксил.
После этого я ещё вставил дистрибутив Win XP Pro SP-3 и выполнил команду:
sfc /scannow

Добавлено через 49 секунд

Цитата (abraxas) »
Каспер купил AVZ
abraxas
AFAIK разработчика AVZ Касперские взяли в свою компанию.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 24.03.2013, 22:11   [включить плавающее окно]   #10
vot
Мужской Запрещенный
 
Регистрация: 15.01.2013
Адрес: Москва
Я про браузеры ничего и не говорил.
vot вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.03.2013, 23:13   [включить плавающее окно]   #11
abraxas
Женский Недосягаемый
 
Аватар для abraxas
 
Регистрация: 10.11.2003
Адрес: EU
Цитата (WestGott) »
AFAIK разработчика AVZ Касперские взяли в свою компанию.
С точки зрения развития продукта идеальное решение - вместо продукта купить автора, пусть развивает дальше под новым брендом.
abraxas вне форума  
Ответить с цитированием
Непрочитано 25.03.2013, 08:23   [включить плавающее окно]   #12
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (abraxas) »
вместо продукта купить автора, пусть развивает дальше
Ну так и мелкомягкие в своё время купили Руссиновича...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.03.2013, 15:56   [включить плавающее окно]   #13
Alexandra
Женский Недосягаемый
 
Аватар для Alexandra
 
Регистрация: 22.05.2003
Адрес: Kemerovo
...о,млин,америку открыли...
__________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.
Alexandra вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 19:39. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey