Познавательный блог  

Поиск по сайту

Гугль

Архивы

Подозрительный процесс crypt.exe и папка Gorn?

Пару дней назад обратился знакомый с проблемой. Вместо посещаемых сайтов и соц. сетей открывается сайт МВД. И как обычно вымогает деньги.

Первым же делом идем в автозагрузку и обнаруживаем там программу Gorn, ссылающуюся на файл c:\Program Files\gorn\gorn\crypt.exe. Кстати Gorn числится как программа в панели управления.

1

В диспетчере задач висит процесс crypt.exe.

В папке c:\Program Files\gorn\gorn\ tit много файлов. Открыв для просмотра bat2.bat замечаем строку, которая снимает атрибуты с файла \etc\hosts. Теперь ясно каким образом вместо контакта открывается фальшивка.

В самом файле hosts вот это:

# -----------
179.43.133.133 my.mail.ru
179.43.133.133 m.my.mail.ru
179.43.133.133 vk.com
179.43.133.133 ok.ru
179.43.133.133 m.vk.com
179.43.133.133 odnoklassniki.ru
179.43.133.133 vk.com
179.43.133.133 www.odnoklassniki.ru
179.43.133.133 m.odnoklassniki.ru
179.43.133.133 ok.ru
179.43.133.133 m.ok.ru
179.43.133.133 www.odnoklassniki.ru
179.43.133.133 sotialmonstercookie.ru
217.20.152.226 st.mycdn.me
217.20.156.72 mycdn.me

Для удаления всего этого:

1. Убиваем процесс crypt.exe.

2. Удаляем запись о нем в автозагрузке и системном реестре.

3. Удаляем всю папку c:\Program Files\gorn\ и
c:\documents and settings\all users\application data\windowsmangerprotect
4. Чистим файл \etc\hosts от лишней дряни.

ПС. Также эта сволочь умеет подменять в сетевых настройках DNS сервера, их тоже стоит проверить.

Пригодится http://virusinfo.info/showthread.php?t=172834

Какой тип хостинга http://www.fozzy.com.

Комментарии

Комментарий от Рулан [ Февраль 24, 2015, 23:29 ]

Интересная информация. У меня таже проблема, но в c:\Program Files\ нет папки gorn. Что подскажите делать. Спасибо.

Комментарий от Я [ Февраль 25, 2015, 14:20 ]

Руслан, попробуйте открыть от имени администартора файл c:\windows\systed32\drivers\etc\hosts , в нем должны быть строчки, похожи на те что показал автор, тоесть сначала идет ip адрес а потом идет название вашего сайта что не открывается. Нужно все эти строчки удалить (оставить только 127.0.0.1 localhost или что то типа того). Тогда скорее всего ваши сайты заработают. Напоминаю, что открывать нужно от имени администратора, потому что иначе, скорее всего, этот файлик вы не сможете сохранить после внесения исправлений.

Комментарий от ГОСТЬ [ Март 2, 2015, 01:35 ]

У меня был тот же вирус. Из процессов сняла crypt.exe, папку Gorn, так же не нашла.

Перегрузила компьютер, чтоб заново запустить скрипт и поискать еще раз папку. В диспетчере задач, в Автозагрузке нашла его и правой клавишей мыши перешла в Расположение файла. Папка называлась Home\Dorm\crypt.exe Там был и Uninstall

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru