Вирус прячущий поисковики о_О

как-то внезапно подцепил непонятный вирус, ни с того ни с сего перестали грузиться яндекс и гугл, глянул хостс а там...

Code:

127.0.0.1	go.mail.ru
127.0.0.1	nova.rambler.ru
127.0.0.1	google.ad
127.0.0.1	www.google.ad
127.0.0.1	google.ae
127.0.0.1	www.google.ae
127.0.0.1	google.am
127.0.0.1	www.google.am
127.0.0.1	google.com.ar
127.0.0.1	www.google.com.ar
127.0.0.1	google.as
127.0.0.1	www.google.as
127.0.0.1	google.at
127.0.0.1	www.google.at
127.0.0.1	google.com.au
127.0.0.1	www.google.com.au
127.0.0.1	google.az
127.0.0.1	www.google.az
127.0.0.1	google.ba
127.0.0.1	www.google.ba
127.0.0.1	google.be
127.0.0.1	www.google.be
127.0.0.1	google.bg
127.0.0.1	www.google.bg
127.0.0.1	google.bs
127.0.0.1	www.google.bs
127.0.0.1	google.com.by
127.0.0.1	www.google.com.by
127.0.0.1	google.ca
127.0.0.1	www.google.ca
127.0.0.1	google.ch
127.0.0.1	www.google.ch
127.0.0.1	google.cn
127.0.0.1	www.google.cn
127.0.0.1	google.cz
127.0.0.1	www.google.cz
127.0.0.1	google.de
127.0.0.1	www.google.de
127.0.0.1	google.dk
127.0.0.1	www.google.dk
127.0.0.1	google.ee
127.0.0.1	www.google.ee
127.0.0.1	google.es
127.0.0.1	www.google.es
127.0.0.1	google.fi
127.0.0.1	www.google.fi
127.0.0.1	google.fr
127.0.0.1	www.google.fr
127.0.0.1	google.gr
127.0.0.1	www.google.gr
127.0.0.1	google.com.hk
127.0.0.1	www.google.com.hk
127.0.0.1	google.hr
127.0.0.1	www.google.hr
127.0.0.1	google.hu
127.0.0.1	www.google.hu
127.0.0.1	google.ie
127.0.0.1	www.google.ie
127.0.0.1	google.co.il
127.0.0.1	www.google.co.il
127.0.0.1	google.co.in
127.0.0.1	www.google.co.in
127.0.0.1	google.is
127.0.0.1	www.google.is
127.0.0.1	google.it
127.0.0.1	www.google.it
127.0.0.1	google.co.jp
127.0.0.1	www.google.co.jp
127.0.0.1	google.kg
127.0.0.1	www.google.kg
127.0.0.1	google.co.kr
127.0.0.1	www.google.co.kr
127.0.0.1	google.li
127.0.0.1	www.google.li
127.0.0.1	google.lt
127.0.0.1	www.google.lt
127.0.0.1	google.lu
127.0.0.1	www.google.lu
127.0.0.1	google.lv
127.0.0.1	www.google.lv
127.0.0.1	google.md
127.0.0.1	www.google.md
127.0.0.1	google.com.mx
127.0.0.1	www.google.com.mx
127.0.0.1	google.nl
127.0.0.1	www.google.nl
127.0.0.1	google.no
127.0.0.1	www.google.no
127.0.0.1	google.co.nz
127.0.0.1	www.google.co.nz
127.0.0.1	google.com.pe
127.0.0.1	www.google.com.pe
127.0.0.1	google.com.ph
127.0.0.1	www.google.com.ph
127.0.0.1	google.pl
127.0.0.1	www.google.pl
127.0.0.1	google.pt
127.0.0.1	www.google.pt
127.0.0.1	google.ro
127.0.0.1	www.google.ro
127.0.0.1	google.ru
127.0.0.1	www.google.ru
127.0.0.1	google.com.ru
127.0.0.1	www.google.com.ru
127.0.0.1	google.com.sa
127.0.0.1	www.google.com.sa
127.0.0.1	google.se
127.0.0.1	www.google.se
127.0.0.1	google.com.sg
127.0.0.1	www.google.com.sg
127.0.0.1	google.si
127.0.0.1	www.google.si
127.0.0.1	google.sk
127.0.0.1	www.google.sk
127.0.0.1	google.co.th
127.0.0.1	www.google.co.th
127.0.0.1	google.com.tj
127.0.0.1	www.google.com.tj
127.0.0.1	google.tm
127.0.0.1	www.google.tm
127.0.0.1	google.com.tr
127.0.0.1	www.google.com.tr
127.0.0.1	google.com.tw
127.0.0.1	www.google.com.tw
127.0.0.1	google.com.ua
127.0.0.1	www.google.com.ua
127.0.0.1	google.co.uk
127.0.0.1	www.google.co.uk
127.0.0.1	google.co.vi
127.0.0.1	www.google.co.vi
127.0.0.1	google.com
127.0.0.1	www.google.com
127.0.0.1	google.us
127.0.0.1	www.google.us
127.0.0.1	google.com.pl
127.0.0.1	www.google.com.pl
127.0.0.1	google.co.hu
127.0.0.1	www.google.co.hu
127.0.0.1	google.ge
127.0.0.1	www.google.ge
127.0.0.1	google.kz
127.0.0.1	www.google.kz
127.0.0.1	google.co.uz
127.0.0.1	www.google.co.uz
127.0.0.1	search.msn.com
127.0.0.1	search.live.com
127.0.0.1	search.msn.com.hk
127.0.0.1	search.prodigy.msn.com
127.0.0.1	cnweb.search.live.com
127.0.0.1	search.msn.co.jp
127.0.0.1	livesearch.msn.co.kr
127.0.0.1	search.msn.com.my
127.0.0.1	search.msn.com.ph
127.0.0.1	search.msn.com.sg
127.0.0.1	search.msn.com.tw
127.0.0.1	search.msn.at
127.0.0.1	search.msn.dk
127.0.0.1	search.msn.fi
127.0.0.1	search.msn.fr
127.0.0.1	search.msn.ie
127.0.0.1	search.msn.co.il
127.0.0.1	search.msn.it
127.0.0.1	search.msn.nl
127.0.0.1	search.msn.no
127.0.0.1	search.msn.es
127.0.0.1	search.msn.se
127.0.0.1	search.msn.ch
127.0.0.1	search.msn.com.tr
127.0.0.1	search.msn.co.uk
127.0.0.1	search.yahoo.com
127.0.0.1	ca.search.yahoo.com
127.0.0.1	ar.search.yahoo.com
127.0.0.1	cl.search.yahoo.com
127.0.0.1	co.search.yahoo.com
127.0.0.1	mx.search.yahoo.com
127.0.0.1	espanol.search.yahoo.com
127.0.0.1	qc.search.yahoo.com
127.0.0.1	ve.search.yahoo.com
127.0.0.1	pe.search.yahoo.com
127.0.0.1	at.search.yahoo.com
127.0.0.1	ct.search.yahoo.com
127.0.0.1	dk.search.yahoo.com
127.0.0.1	fi.search.yahoo.com
127.0.0.1	fr.search.yahoo.com
127.0.0.1	de.search.yahoo.com
127.0.0.1	it.search.yahoo.com
127.0.0.1	nl.search.yahoo.com
127.0.0.1	no.search.yahoo.com
127.0.0.1	ru.search.yahoo.com
127.0.0.1	es.search.yahoo.com
127.0.0.1	se.search.yahoo.com
127.0.0.1	ch.search.yahoo.com
127.0.0.1	uk.search.yahoo.com
127.0.0.1	asia.search.yahoo.com
127.0.0.1	au.search.yahoo.com
127.0.0.1	one.cn.yahoo.com
127.0.0.1	hk.search.yahoo.com
127.0.0.1	in.search.yahoo.com
127.0.0.1	id.search.yahoo.com
127.0.0.1	search.yahoo.co.jp
127.0.0.1	kr.search.yahoo.com
127.0.0.1	malaysia.search.yahoo.com
127.0.0.1	nz.search.yahoo.com
127.0.0.1	ph.search.yahoo.com
127.0.0.1	sg.search.yahoo.com
127.0.0.1	tw.search.yahoo.com
127.0.0.1	th.search.yahoo.com
127.0.0.1	vn.search.yahoo.com
127.0.0.1	images.google.com
127.0.0.1	images.google.ca
127.0.0.1	images.google.co.uk
127.0.0.1	news.google.com
127.0.0.1	news.google.ca
127.0.0.1	news.google.co.uk
127.0.0.1	video.google.com
127.0.0.1	video.google.ca
127.0.0.1	video.google.co.uk
127.0.0.1	blogsearch.google.com
127.0.0.1	blogsearch.google.ca
127.0.0.1	blogsearch.google.co.uk
127.0.0.1	searchservice.myspace.com
127.0.0.1	search.comcast.net
127.0.0.1	ask.com
127.0.0.1	www.ask.com
127.0.0.1	search.aol.com
127.0.0.1	search.netscape.com
127.0.0.1	my.att.net
127.0.0.1	yandex.ru
127.0.0.1	www.yandex.ru
127.0.0.1	yandex.ua
127.0.0.1	www.yandex.ua
127.0.0.1	baidu.com
127.0.0.1	www.baidu.com
127.0.0.1	en.search.wordpress.com
127.0.0.1	en.wikipedia.org
127.0.0.1	search.cnn.com
127.0.0.1	information.com
127.0.0.1	www.information.com
127.0.0.1	search.microsoft.com
127.0.0.1	search.about.com
127.0.0.1	search.icq.com
127.0.0.1	www.icq.com
127.0.0.1	www.verizon.net
127.0.0.1	verizon.net
127.0.0.1	search.lycos.com

Эт что ещё за вирус такой?) зачем ему это?) и что он ещё делает?

 

Забавный вирус)
Может быть от него ещё какие-нибудь последствия? А поисковики спрятаны для того, чтобы ты не мог найти способ борьбы с ним)
Бред, но всё же

 

Интересно.
Видимо вирус не русский, по крайней мере qip.ru - не занесен в этот список.

 

поидее должна быть еще и типа отправтье смс для доступа....возможно эта часть гдето затерялась

 

вот и мне интересно что ещё он делает) а хз как инфу о нём искать)

не знаю) я никогда с qip не искал) но там добавлен яндекс и мейл русские.. Ну хотя это наверно самые популярные у нас..

Бывает и такое, но тут нету)

 

батник? или exe?

 

я то откуда знаю, я как видишь только последствия наблюдаю.

 

Лучше бы сделали подмену выдачи, чем localhost =\

 

бональная подмена выдачи =\

 

у него и есть подмена выдачи,просто на локалхосте у него вирь поднял фид

 

чё правда!?? не врёшь!?

интересно чё он ещё сделал!

 

ВО! выключил комп, включил - снова записало всё это в хостс. Ида помимо поисковиков он ещё пишет туда

))

ну это, как бы без антивируса выловить?)

 

Code:

C:\WINDOWS\JALJRJRA.exe
C:\WINDOWS\msauc.exe
msansspc.dll

вроде бы он.

_tp://www.avsoft.ru/forum/read.php?FID=31&TID=702
_tp://forum.searchengines.ru/showthread.php?p=4863760

Больше ничего дельного найти не удалось.

код AVZ для удаления.

Code:

begin 
ClearQuarantine; 
SearchRootkit(true, true); 
SetAVZGuardStatus(True); 

DelBHO('{700259D7-1666-479a-93B1-3250410481E8}'); 
DelBHO('{58ECB495-38F0-49cb-A538-10282ABF65E7}'); 
QuarantineFile('msansspc.dll',''); 
QuarantineFile('C:\WINDOWS\msauc.exe',''); 
QuarantineFile('C:\WINDOWS\JALJRJRA.exe',''); 
BC_DeleteFile('C:\WINDOWS\JALJRJRA.exe'); 
BC_DeleteFile('C:\WINDOWS\msauc.exe'); 
BC_DeleteFile('msansspc.dll'); 
ExecuteRepair(13); 

BC_ImportAll; 
ExecuteSysClean; 
BC_Activate; 
RebootWindows(true); 
end.

 

нет таких файлов у меня в С/Виндовс
но спасибо за попытку

 

Теперь репа без коммента равносильна плевку в лицо. (с) не помню кто.
Спасибо

 

проверь запущеные процессы и автозагрузку AnVir Task Manager
http://www.anvir.net/cgi-bin/swstat/go.pl?distr=http://www.anvir.net/downloads/anvirrus.exe

 

Скорее всего он в автозагрузке...В запущеных процессах он не будет он всё тихонько делает и выгружаеццо с памяти чтобэ его не заметили.
Мое ИМХО=)

 

может быть и так. мне эта прога нравится тем что она автоматически показывает о добавлении новых программ в автозагрузку. в ней вообще все очень подробно показывается+бесплатна.

 

Напишу не по теме...Не подскажите что можно сделать.Убираю с автозагрузки программы (не вредоносные) но после их запуска они снова добавляются в автозагрузку...Как можно это решить?

 

Так кароче помаялся, и снова активировал пробный касперский.
Быстрой проверкой ничего не нашло, зато я нашёл в корзине тот файл который скорее всгео меня заразил - восстановил его и проверил.
HEUR:Exploit.Script.Generic
касперский сказал что поместил его на карантин, но больше этого файла нет, и сам касперский при попытке "восстановить" его не находит. мб самоудалился.
трой был в pdf файле.
вобщем как-то так. инфы по этому вирусу чёт не очень много.