как-то внезапно подцепил непонятный вирус, ни с того ни с сего перестали грузиться яндекс и гугл, глянул хостс а там...


127.0.0.1 go.mail.ru
127.0.0.1 nova.rambler.ru
127.0.0.1 google.ad
127.0.0.1 www.google.ad
127.0.0.1 google.ae
127.0.0.1 www.google.ae
127.0.0.1 google.am
127.0.0.1 www.google.am
127.0.0.1 google.com.ar
127.0.0.1 www.google.com.ar
127.0.0.1 google.as
127.0.0.1 www.google.as
127.0.0.1 google.at
127.0.0.1 www.google.at
127.0.0.1 google.com.au
127.0.0.1 www.google.com.au
127.0.0.1 google.az
127.0.0.1 www.google.az
127.0.0.1 google.ba
127.0.0.1 www.google.ba
127.0.0.1 google.be
127.0.0.1 www.google.be
127.0.0.1 google.bg
127.0.0.1 www.google.bg
127.0.0.1 google.bs
127.0.0.1 www.google.bs
127.0.0.1 google.com.by
127.0.0.1 www.google.com.by
127.0.0.1 google.ca
127.0.0.1 www.google.ca
127.0.0.1 google.ch
127.0.0.1 www.google.ch
127.0.0.1 google.cn
127.0.0.1 www.google.cn
127.0.0.1 google.cz
127.0.0.1 www.google.cz
127.0.0.1 google.de
127.0.0.1 www.google.de
127.0.0.1 google.dk
127.0.0.1 www.google.dk
127.0.0.1 google.ee
127.0.0.1 www.google.ee
127.0.0.1 google.es
127.0.0.1 www.google.es
127.0.0.1 google.fi
127.0.0.1 www.google.fi
127.0.0.1 google.fr
127.0.0.1 www.google.fr
127.0.0.1 google.gr
127.0.0.1 www.google.gr
127.0.0.1 google.com.hk
127.0.0.1 www.google.com.hk
127.0.0.1 google.hr
127.0.0.1 www.google.hr
127.0.0.1 google.hu
127.0.0.1 www.google.hu
127.0.0.1 google.ie
127.0.0.1 www.google.ie
127.0.0.1 google.co.il
127.0.0.1 www.google.co.il
127.0.0.1 google.co.in
127.0.0.1 www.google.co.in
127.0.0.1 google.is
127.0.0.1 www.google.is
127.0.0.1 google.it
127.0.0.1 www.google.it
127.0.0.1 google.co.jp
127.0.0.1 www.google.co.jp
127.0.0.1 google.kg
127.0.0.1 www.google.kg
127.0.0.1 google.co.kr
127.0.0.1 www.google.co.kr
127.0.0.1 google.li
127.0.0.1 www.google.li
127.0.0.1 google.lt
127.0.0.1 www.google.lt
127.0.0.1 google.lu
127.0.0.1 www.google.lu
127.0.0.1 google.lv
127.0.0.1 www.google.lv
127.0.0.1 google.md
127.0.0.1 www.google.md
127.0.0.1 google.com.mx
127.0.0.1 www.google.com.mx
127.0.0.1 google.nl
127.0.0.1 www.google.nl
127.0.0.1 google.no
127.0.0.1 www.google.no
127.0.0.1 google.co.nz
127.0.0.1 www.google.co.nz
127.0.0.1 google.com.pe
127.0.0.1 www.google.com.pe
127.0.0.1 google.com.ph
127.0.0.1 www.google.com.ph
127.0.0.1 google.pl
127.0.0.1 www.google.pl
127.0.0.1 google.pt
127.0.0.1 www.google.pt
127.0.0.1 google.ro
127.0.0.1 www.google.ro
127.0.0.1 google.ru
127.0.0.1 www.google.ru
127.0.0.1 google.com.ru
127.0.0.1 www.google.com.ru
127.0.0.1 google.com.sa
127.0.0.1 www.google.com.sa
127.0.0.1 google.se
127.0.0.1 www.google.se
127.0.0.1 google.com.sg
127.0.0.1 www.google.com.sg
127.0.0.1 google.si
127.0.0.1 www.google.si
127.0.0.1 google.sk
127.0.0.1 www.google.sk
127.0.0.1 google.co.th
127.0.0.1 www.google.co.th
127.0.0.1 google.com.tj
127.0.0.1 www.google.com.tj
127.0.0.1 google.tm
127.0.0.1 www.google.tm
127.0.0.1 google.com.tr
127.0.0.1 www.google.com.tr
127.0.0.1 google.com.tw
127.0.0.1 www.google.com.tw
127.0.0.1 google.com.ua
127.0.0.1 www.google.com.ua
127.0.0.1 google.co.uk
127.0.0.1 www.google.co.uk
127.0.0.1 google.co.vi
127.0.0.1 www.google.co.vi
127.0.0.1 google.com
127.0.0.1 www.google.com
127.0.0.1 google.us
127.0.0.1 www.google.us
127.0.0.1 google.com.pl
127.0.0.1 www.google.com.pl
127.0.0.1 google.co.hu
127.0.0.1 www.google.co.hu
127.0.0.1 google.ge
127.0.0.1 www.google.ge
127.0.0.1 google.kz
127.0.0.1 www.google.kz
127.0.0.1 google.co.uz
127.0.0.1 www.google.co.uz
127.0.0.1 search.msn.com
127.0.0.1 search.live.com
127.0.0.1 search.msn.com.hk
127.0.0.1 search.prodigy.msn.com
127.0.0.1 cnweb.search.live.com
127.0.0.1 search.msn.co.jp
127.0.0.1 livesearch.msn.co.kr
127.0.0.1 search.msn.com.my
127.0.0.1 search.msn.com.ph
127.0.0.1 search.msn.com.sg
127.0.0.1 search.msn.com.tw
127.0.0.1 search.msn.at
127.0.0.1 search.msn.dk
127.0.0.1 search.msn.fi
127.0.0.1 search.msn.fr
127.0.0.1 search.msn.ie
127.0.0.1 search.msn.co.il
127.0.0.1 search.msn.it
127.0.0.1 search.msn.nl
127.0.0.1 search.msn.no
127.0.0.1 search.msn.es
127.0.0.1 search.msn.se
127.0.0.1 search.msn.ch
127.0.0.1 search.msn.com.tr
127.0.0.1 search.msn.co.uk
127.0.0.1 search.yahoo.com
127.0.0.1 ca.search.yahoo.com
127.0.0.1 ar.search.yahoo.com
127.0.0.1 cl.search.yahoo.com
127.0.0.1 co.search.yahoo.com
127.0.0.1 mx.search.yahoo.com
127.0.0.1 espanol.search.yahoo.com
127.0.0.1 qc.search.yahoo.com
127.0.0.1 ve.search.yahoo.com
127.0.0.1 pe.search.yahoo.com
127.0.0.1 at.search.yahoo.com
127.0.0.1 ct.search.yahoo.com
127.0.0.1 dk.search.yahoo.com
127.0.0.1 fi.search.yahoo.com
127.0.0.1 fr.search.yahoo.com
127.0.0.1 de.search.yahoo.com
127.0.0.1 it.search.yahoo.com
127.0.0.1 nl.search.yahoo.com
127.0.0.1 no.search.yahoo.com
127.0.0.1 ru.search.yahoo.com
127.0.0.1 es.search.yahoo.com
127.0.0.1 se.search.yahoo.com
127.0.0.1 ch.search.yahoo.com
127.0.0.1 uk.search.yahoo.com
127.0.0.1 asia.search.yahoo.com
127.0.0.1 au.search.yahoo.com
127.0.0.1 one.cn.yahoo.com
127.0.0.1 hk.search.yahoo.com
127.0.0.1 in.search.yahoo.com
127.0.0.1 id.search.yahoo.com
127.0.0.1 search.yahoo.co.jp
127.0.0.1 kr.search.yahoo.com
127.0.0.1 malaysia.search.yahoo.com
127.0.0.1 nz.search.yahoo.com
127.0.0.1 ph.search.yahoo.com
127.0.0.1 sg.search.yahoo.com
127.0.0.1 tw.search.yahoo.com
127.0.0.1 th.search.yahoo.com
127.0.0.1 vn.search.yahoo.com
127.0.0.1 images.google.com
127.0.0.1 images.google.ca
127.0.0.1 images.google.co.uk
127.0.0.1 news.google.com
127.0.0.1 news.google.ca
127.0.0.1 news.google.co.uk
127.0.0.1 video.google.com
127.0.0.1 video.google.ca
127.0.0.1 video.google.co.uk
127.0.0.1 blogsearch.google.com
127.0.0.1 blogsearch.google.ca
127.0.0.1 blogsearch.google.co.uk
127.0.0.1 searchservice.myspace.com
127.0.0.1 search.comcast.net
127.0.0.1 ask.com
127.0.0.1 www.ask.com
127.0.0.1 search.aol.com
127.0.0.1 search.netscape.com
127.0.0.1 my.att.net
127.0.0.1 yandex.ru
127.0.0.1 www.yandex.ru
127.0.0.1 yandex.ua
127.0.0.1 www.yandex.ua
127.0.0.1 baidu.com
127.0.0.1 www.baidu.com
127.0.0.1 en.search.wordpress.com
127.0.0.1 en.wikipedia.org
127.0.0.1 search.cnn.com
127.0.0.1 information.com
127.0.0.1 www.information.com
127.0.0.1 search.microsoft.com
127.0.0.1 search.about.com
127.0.0.1 search.icq.com
127.0.0.1 www.icq.com
127.0.0.1 www.verizon.net
127.0.0.1 verizon.net
127.0.0.1 search.lycos.com


Эт что ещё за вирус такой?) зачем ему это?) и что он ещё делает?

Забавный вирус)
Может быть от него ещё какие-нибудь последствия? А поисковики спрятаны для того, чтобы ты не мог найти способ борьбы с ним)
Бред, но всё же

Интересно.
Видимо вирус не русский, по крайней мере qip.ru - не занесен в этот список.

поидее должна быть еще и типа отправтье смс для доступа....возможно эта часть гдето затерялась

Забавный вирус)
Может быть от него ещё какие-нибудь последствия? А поисковики спрятаны для того, чтобы ты не мог найти способ борьбы с ним)
Бред, но всё же
вот и мне интересно что ещё он делает) а хз как инфу о нём искать)

Интересно.
Видимо вирус не русский, по крайней мере qip.ru - не занесен в этот список.
не знаю) я никогда с qip не искал) но там добавлен яндекс и мейл русские.. Ну хотя это наверно самые популярные у нас..

поидее должна быть еще и типа отправтье смс для доступа....возможно эта часть гдето затерялась
Бывает и такое, но тут нету)

батник? или exe?

батник? или exe?
я то откуда знаю, я как видишь только последствия наблюдаю.

Лучше бы сделали подмену выдачи, чем localhost =\

бональная подмена выдачи =\

Лучше бы сделали подмену выдачи, чем localhost =\
у него и есть подмена выдачи,просто на локалхосте у него вирь поднял фид :)

бональная подмена выдачи =\
чё правда!?? не врёшь!?

интересно чё он ещё сделал!

ВО! выключил комп, включил - снова записало всё это в хостс. Ида помимо поисковиков он ещё пишет туда
127.0.0.1 youporn.com
127.0.0.1 www.youporn.com


))

ну это, как бы без антивируса выловить?)

C:\WINDOWS\JALJRJRA.exe
C:\WINDOWS\msauc.exe
msansspc.dll
вроде бы он.

_tp://www.avsoft.ru/forum/read.php?FID=31&TID=702
_tp://forum.searchengines.ru/showthread.php?p=4863760

Больше ничего дельного найти не удалось.

код AVZ для удаления.


begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);

DelBHO('{700259D7-1666-479a-93B1-3250410481E8}');
DelBHO('{58ECB495-38F0-49cb-A538-10282ABF65E7}');
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\JALJRJRA.exe','');
BC_DeleteFile('C:\WINDOWS\JALJRJRA.exe');
BC_DeleteFile('C:\WINDOWS\msauc.exe');
BC_DeleteFile('msansspc.dll');
ExecuteRepair(13);

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

вроде бы он.
нет таких файлов у меня в С/Виндовс
но спасибо за попытку

Теперь репа без коммента равносильна плевку в лицо. (с) не помню кто.
Спасибо :)

проверь запущеные процессы и автозагрузку AnVir Task Manager
http://www.anvir.net/cgi-bin/swstat/go.pl?distr=http://www.anvir.net/downloads/anvirrus.exe

проверь запущеные процессы и автозагрузку AnVir Task Manager
http://www.anvir.net/cgi-bin/swstat/go.pl?distr=http://www.anvir.net/downloads/anvirrus.exe
Скорее всего он в автозагрузке...В запущеных процессах он не будет он всё тихонько делает и выгружаеццо с памяти чтобэ его не заметили.
Мое ИМХО=)

Скорее всего он в автозагрузке...В запущеных процессах он не будет он всё тихонько делает и выгружаеццо с памяти чтобэ его не заметили.
Мое ИМХО=)
может быть и так. мне эта прога нравится тем что она автоматически показывает о добавлении новых программ в автозагрузку. в ней вообще все очень подробно показывается+бесплатна.

Напишу не по теме...Не подскажите что можно сделать.Убираю с автозагрузки программы (не вредоносные) но после их запуска они снова добавляются в автозагрузку...Как можно это решить?

Так кароче помаялся, и снова активировал пробный касперский.
Быстрой проверкой ничего не нашло, зато я нашёл в корзине тот файл который скорее всгео меня заразил - восстановил его и проверил.
HEUR:Exploit.Script.Generic
касперский сказал что поместил его на карантин, но больше этого файла нет, и сам касперский при попытке "восстановить" его не находит. мб самоудалился.
трой был в pdf файле.
вобщем как-то так. инфы по этому вирусу чёт не очень много.

Так кароче помаялся, и снова активировал пробный касперский.
Быстрой проверкой ничего не нашло, зато я нашёл в корзине тот файл который скорее всгео меня заразил - восстановил его и проверил.
HEUR:Exploit.Script.Generic
касперский сказал что поместил его на карантин, но больше этого файла нет, и сам касперский при попытке "восстановить" его не находит. мб самоудалился.
трой был в pdf файле.
вобщем как-то так. инфы по этому вирусу чёт не очень много.
Может быть вирус который тебя заразил был написан 10 минут до заражения (пример).
Потому что я тоже ни чего не нахожу связанного с блокингом поисковиков...

Ага! покопавшись в истории загрузок мне удалось его найти!
Только когда я его проверил на сайте касперского - мне сказало что там нет ничего. А на компе всё равно говорит что тот вирус. А вот отчёты с других мест:

http://virusscan.jotti.org/ru/scanresult/49928f50945a51dd91c69141137cbbc9f82d4553

http://www.virustotal.com/ru/analisis/507f5e2fa091dd3cfa935a785427b12b8bf5bc686a570ba38d c9ccd7c8a4aceb-1250370572


А САм файл вот тут:
http://barbadosso.ru/2/test_pdf.php

ага, я тоже на такое нарывался. уровень, хуле. простыми вирями уже не возьмешь. :)

Аваст его сразу же увидел...Сей час проверю его на виртуалке...И скажу что это за зверЪко=))))

Ваш файл просрочен или не существует.
просто античат откусил кусок ссылки - соедините то что перешло на следующую строчку.

аваст даже загружать его не стал. грит ну его нафиг. )

аваст даже загружать его не стал. грит ну его нафиг. )
ну загружать то наверно любой антивир не захочет. а так он вроде начнёт работать только после запуска же

я не понял, ты без антивируса сидишь?

я не понял, ты без антивируса сидишь?
ну да)
...ну тоесть сейчас я конечно подтёр реестр, и заного скачал пробного касперского и теперь с антивирусом, пытаясь выловить этого козла.

вот как раз тебе в темугифка
(http://leprastuff.ru/data/img/20090815/06297405442526af543f82f39ac5ac64.gif)

это очень опасная стадия когда думаешь что ты настолько все знаешь что все пофиг. параноики живут дольше всех.

Это не он...Я проверил на виртуалке по перезагружал виртуалку по запускал експлойт и т.д.В хосты ничего не добавилось...Ишим дальше...=)

не надо "обменыватся" названиями файлами типа C:\WINDOWS\JALJRJRA.exe
C:\WINDOWS\msauc.exe
msansspc.dll
они у каждого могут быть по другому. Ну и более того - AVZ скрипты.
скачай с сайта dr.Web утилиту новую CureIT! и сканируй желательно в безопасном режиме. если ничего не найдется, но будет ошушение, что в компе есть зараза, то сними HiJackThis лог и выложи, посмотрю.

BlackCats ты понимаешь всю глубину твоего поступка? если нет прочитай еще раз внимательно.
не надо "обменыватся" названиями файлами типа
они у каждого могут быть по другому. Ну и более того - AVZ скрипты.
скачай с сайта dr.Web утилиту новую CureIT! и сканируй желательно в безопасном режиме. если ничего не найдется, но будет ошушение, что в компе есть зараза, то сними HiJackThis лог и выложи, посмотрю.

ты понимаешь? никому и в голову не пришло что ты сидишь без антивиря. :D
совет правильный.

BlackCats
Если надо что-то проверить на виртуалке обращайся с удовольствием помогу=)

оlbaneс
и кто сказал, что я без антивиря сижу? :))))))))
или это ТС без антивиря оказывается ? :D

да и никакой антивир не даст даже 80% гарантии, что на комп чистый, по этому надо разными антивирами проверить.
практика, епт :p каждый день имею дело с разными заразами. как цифровыми, так и реальными :D

оlbaneс
и кто сказал, что я без антивиря сижу? :))))))))
да не ты, а черные коты )


зыззызы. включайте радио
( http://myau.su:8000/radio.m3u) . бодрит музыка. 24/7
чорт, http://myau.su:8000/radio.m3u