Вирусы в браузерах

← →
Пит (2012-12-30 13:56) [0]

У знакомого на компьютере в браузерах (проверяли Chrome, IE) при заходах на сайт выскакивает всякая фигня, типа нужно вбить свой номер телефона для отправки СМС.
При заходе на нормальные сайты, то есть явно что-то шпионское/троянское прописалось на компе клиенте.

Не блокиротор, работа в windows по словам знакомого нормальная, проявляется именно в браузерах.

Того компьютера под рукой нету, сейчас на флешку надо записать что-то полезное и с этим уехать и реанимировать комп, разобраться надо на месте с первого раза )

Что посоветуете, какую хорошую программу для очистки всего этого ужаса?

← →
brother © (2012-12-30 13:58) [1]

https://www.freedrweb.com/download+cureit+free/?lng=ru

← →
Kerk © (2012-12-30 14:11) [2]

http://sms.kaspersky.ru/

← →
Kerk © (2012-12-30 14:11) [3]

Ну и http://support.kaspersky.ru/8005 сразу

← →
Inovet © (2012-12-30 14:18) [4]

А так тоже?
Start Menu\Programs\Accessories\System Tools\Internet Explorer (без надстроек)
И ФФ есть такое
"Перезапустить с отключенными дополнениями"

← →
Pavia © (2012-12-30 14:20) [5]

ИХМо весить как фильтер TCP

← →
брат Птибурдукова (2012-12-30 14:26) [6]

Буквально дня три назад на хабре что-то такое писали... По теме: посмотри AVZ и CureIt

← →
Пит (2012-12-30 14:28) [7]

> http://sms.kaspersky.ru/

об этом подумал сначала. Но она не требует отправить СМС на номер, она требует вбить СВОЙ номер.
Видимо, это из нового мошеничества. Ты вводишь номер, тебе приходит код. Дальше код вводишь на сайте - и все.

Если арендатор номера узнал код, который пришел на СМС - считается, что абонент согласен с подписанной услугой.

← →
Пит (2012-12-30 20:34) [8]

CureIT справился.

← →
Inovet © (2012-12-30 20:39) [9]

> [8] Пит (30.12.12 20:34)

И где собака порылась? Ну в смысле в плагинах или где?

← →
БарЛог © (2012-12-30 23:50) [10]

брат Птибурдукова (30.12.12 14:26) [6]

> Буквально дня три назад на хабре что-то такое писали...

Похвастаешься знанием свежего контента? :о)

← →
Пит (2012-12-31 14:21) [11]

> И где собака порылась? Ну в смысле в плагинах или где?

Ну видимо.

По признакам - страницы грузятся, потом происходит событие аля "Страница загружена", по этому событию поверх содержимого сайта - всплывающий баннер с блокировкой и просьбой указать свой телефон.

Если не дождавшись загрузки страницы нажать стоп, то банера так и не будет.

CureIT поудалял несколько DLL, вида "is_media.dll" и прочее. Видимо, это и были плагины / обработчики / инжекторы в процессы браузеров.

← →
брат Птибурдукова (2012-12-31 14:32) [12]

browser helper objects, похоже

← →
брат Птибурдукова (2013-01-04 19:54) [13]

Во блин, и я умудрился блокировщик подхватить, открыв из оперы nevsedoma.org.ua. AVG2013 Free не помог.

Падлюка записалась в c:\Users\UserName\8705857.exe, незатейливо прописалась HKCU\...\Run, сделалась топ-окном и стала врать, будто уличила меня в просмотре гей-порно (как будто в этом есть что-то плохое)…

Волшебный таскбар седьмой винды, аэро-интерфейс, встроенные команды винды и пара матюков не оставили зловреду шансов.

← →
ННН (2013-01-04 20:13) [14]

> брат Птибурдукова (04.01.13 19:54) [13]
> Волшебный таскбар седьмой винды, аэро-интерфейс, встроенные
> команды винды и пара матюков не оставили зловреду шансов.
>

А можно поподробнее?
Поделитесь опытом. :)

← →
брат Птибурдукова (2013-01-04 20:30) [15]

Если подвести курсор к иконке приложения на таскбаре (который не был скрыт), то отображается полноразмерное окно соответствующего приложения. Win+R, cmd, Enter, tasklist, Enter, подвожу мышу к иконке командного интерпретатора, глазуально нахожу чуждый процесс, ещё раз Win+R, cmd, Enter, taskkill /f /t /im 8705857.exe — et voilà! Потом нашёл в реестре нужную запись, удалил, с диска каку тоже удалил.

← →
Jeer © (2013-01-04 20:33) [16]

Решил с НГ потестить avast-free - хорошо блокирует web-пакости.
+ за симантеком подчистил кое-что в архивах

← →
Vegeta (2013-01-06 21:24) [17]

> брат Птибурдукова (04.01.13 19:54) [13]

И как умудрился? Джава/флеш/ридер не обновляешь?

← →
брат Птибурдукова (2013-01-06 21:50) [18]

флэш обновляется регулярно, что есть "ридер" — не знаю, обновляется ли джава и установлена ли — без понятия

← →
Vegeta (2013-01-06 21:56) [19]

> брат Птибурдукова (06.01.13 21:50) [18]

Тут проверь: http://www.surfpatrol.ru/

← →
брат Птибурдукова (2013-01-06 22:02) [20]

о, спасибо. говорит, надо жабу, акробат и квиктайм обновить

настройки DNS проверь

← →
Vegeta (2013-01-11 16:08) [22]

В Java-плагине найдена (уже в природе) очередная 0-day уязвимость.
Удаляйте Java с компов! Или отключайте в рабочем браузере, а где очень нужны апплеты - используйте другой браузер, не используемый для серфинга. Я давно так и сделал.

← →
брат Птибурдукова (2013-01-11 17:04) [23]

А бес его знает, где это в опере отключается... надо поискать, аплеты мне точно не нужны

> [19] Vegeta (06.01.13 21:56)
> Тут проверь: http://www.surfpatrol.ru/

Тут пару дней назат этот акробат вдруг обновится захотел. По ссылке пишут, что уже год с чем-то дыру не закрывают, но я его в браузере отключаю всегда, когда не забываю, потому что неудобно мне pdf в браузере открывать.

← →
Vegeta (2013-01-11 18:33) [25]

> брат Птибурдукова (11.01.13 17:04) [23]

В адресной строке введи opera:plugins

> Удаляйте Java с компов!

ни за что. как же без джавы то?

← →
брат Птибурдукова (2013-01-12 00:52) [27]

> Vegeta (11.01.13 18:33) [25]
o_O Круто, семь экземпляров одной версии квиктайма, чтоб он в аду горел... Так вооот где долбаные свистоперделки флэшовые отключаются… You"ve made my day.

> По ссылке пишут, что уже год с чем-то дыру не закрывают

лучше в этом плане пользоваться хромом со встроенным pdf-просмотрщиком ну или альтернативой типа foxit pdf reader

Вирусы в браузерах Найти похожие ветки