Пару дней назад обратился знакомый с проблемой. Вместо посещаемых сайтов и соц. сетей открывается сайт МВД. И как обычно вымогает деньги.

Первым же делом идем в автозагрузку и обнаруживаем там программу Gorn, ссылающуюся на файл c:\Program Files\gorn\gorn\crypt.exe. Кстати Gorn числится как программа в панели управления.

В диспетчере задач висит процесс crypt.exe.

В папке c:\Program Files\gorn\gorn\ tit много файлов. Открыв для просмотра bat2.bat замечаем строку, которая снимает атрибуты с файла \etc\hosts. Теперь ясно каким образом вместо контакта открывается фальшивка.

В самом файле hosts вот это:

# ———–
179.43.133.133 my.mail.ru
179.43.133.133 m.my.mail.ru
179.43.133.133 vk.com
179.43.133.133 ok.ru
179.43.133.133 m.vk.com
179.43.133.133 odnoklassniki.ru
179.43.133.133 vk.com
179.43.133.133 www.odnoklassniki.ru
179.43.133.133 m.odnoklassniki.ru
179.43.133.133 ok.ru
179.43.133.133 m.ok.ru
179.43.133.133 www.odnoklassniki.ru
179.43.133.133 sotialmonstercookie.ru
217.20.152.226 st.mycdn.me
217.20.156.72 mycdn.me

Для удаления всего этого:

1. Убиваем процесс crypt.exe.

2. Удаляем запись о нем в автозагрузке и системном реестре.

3. Удаляем всю папку c:\Program Files\gorn\ и
c:\documents and settings\all users\application data\windowsmangerprotect
4. Чистим файл \etc\hosts от лишней дряни.

ПС. Также эта сволочь умеет подменять в сетевых настройках DNS сервера, их тоже стоит проверить.

Пригодится https://virusinfo.info/showthread.php?t=172834