В один прекрасный день на своём компе обнаружил что почти на всех страничках интеHijackThis рнета слева выскакивает рекламный баннер. По началу не обратил внимания — ну сейчас развелось сайтов с рекламой. Но после того как баннер стал отображаться на уважаемых сайтах решил всётаки разобраться. Просканировал антивирусом Касперского — ничего. Антивирус как всегда молчит. Просканировал AVZ — нашёл разную мелочь, удалил, но баннер остался. Просканировал Dr.Web CureIT — также ничего существенного. Хотел скачать с сайта касперского антивирусную утилиту но на сайт касперского меня не пустило — перекинуло на 404 страницу Яндекса. Кроме того блокировались все сайты с упоминанием о похожем баннере. Опять же перекидывало на 404 «секретную» страницу яндекса.
Стало понятно — подмена DNS серверов. Первым делом смотрим Hosts файл, — там всё ворядке.
Качаем утилиту HijackThis и сканируем комп.
среди прочего подозрительного утилита нашла записи:
O17 — HKLM\System\CCS\Services\Tcpip\..\{2EB13F62-296F-4D0C-8339-76D3A88A278F}: NameServer = 193.111.137.199
O17 — HKLM\System\CS1\Services\Tcpip\..\{2EB13F62-296F-4D0C-8339-76D3A88A278F}: NameServer = 193.111.137.199
O17 — HKLM\System\CS2\Services\Tcpip\..\{2EB13F62-296F-4D0C-8339-76D3A88A278F}: NameServer = 193.111.137.199
Удаляем записи.
Для надёжности заходим в командную строку и очищаем кэш DNS ipconfig /flushdns
Начинает пускать на различные ранее блокированные сайты. Значит всё сделано правильно.
Ещё раз запускаем AVZ удаляем всё подозрительное.
Чистим кэш, темп, cookie в браузерах.
Для надёжности можно пройтись утилитой Malwarebytes’ Anti-Malware.
После указанных действий баннер появляться не должен. Также должно заходить на сайты антивирусных программ