Познавательный блог Мобильная врсия

Страницы

Промо

Подозрительный процесс crypt.exe и папка Gorn?

Пару дней назад обратился знакомый с проблемой. Вместо посещаемых сайтов и соц. сетей открывается сайт МВД. И как обычно вымогает деньги.

Первым же делом идем в автозагрузку и обнаруживаем там программу Gorn, ссылающуюся на файл c:\Program Files\gorn\gorn\crypt.exe. Кстати Gorn числится как программа в панели управления.

1 468x327 - Подозрительный процесс crypt.exe и папка Gorn?

В диспетчере задач висит процесс crypt.exe.

В папке c:\Program Files\gorn\gorn\ tit много файлов. Открыв для просмотра bat2.bat замечаем строку, которая снимает атрибуты с файла \etc\hosts. Теперь ясно каким образом вместо контакта открывается фальшивка.

В самом файле hosts вот это:

# -----------
179.43.133.133 my.mail.ru
179.43.133.133 m.my.mail.ru
179.43.133.133 vk.com
179.43.133.133 ok.ru
179.43.133.133 m.vk.com
179.43.133.133 odnoklassniki.ru
179.43.133.133 vk.com
179.43.133.133 www.odnoklassniki.ru
179.43.133.133 m.odnoklassniki.ru
179.43.133.133 ok.ru
179.43.133.133 m.ok.ru
179.43.133.133 www.odnoklassniki.ru
179.43.133.133 sotialmonstercookie.ru
217.20.152.226 st.mycdn.me
217.20.156.72 mycdn.me

Для удаления всего этого:

1. Убиваем процесс crypt.exe.

2. Удаляем запись о нем в автозагрузке и системном реестре.

3. Удаляем всю папку c:\Program Files\gorn\ и
c:\documents and settings\all users\application data\windowsmangerprotect
4. Чистим файл \etc\hosts от лишней дряни.

ПС. Также эта сволочь умеет подменять в сетевых настройках DNS сервера, их тоже стоит проверить.

Пригодится https://virusinfo.info/showthread.php?t=172834

Рубрики: Вирусы, Система
Автор: admin | 09.01.2015 | Камменты: 3

Комментарии

Комментарий от Рулан [ 24 февраля, 2015, 23:29 ]

Интересная информация. У меня таже проблема, но в c:\Program Files\ нет папки gorn. Что подскажите делать. Спасибо.
Комментарий от Я [ 25 февраля, 2015, 14:20 ]

Руслан, попробуйте открыть от имени администартора файл c:\windows\systed32\drivers\etc\hosts , в нем должны быть строчки, похожи на те что показал автор, тоесть сначала идет ip адрес а потом идет название вашего сайта что не открывается. Нужно все эти строчки удалить (оставить только 127.0.0.1 localhost или что то типа того). Тогда скорее всего ваши сайты заработают. Напоминаю, что открывать нужно от имени администратора, потому что иначе, скорее всего, этот файлик вы не сможете сохранить после внесения исправлений.
Комментарий от ГОСТЬ [ 2 марта, 2015, 01:35 ]

У меня был тот же вирус. Из процессов сняла crypt.exe, папку Gorn, так же не нашла.

Перегрузила компьютер, чтоб заново запустить скрипт и поискать еще раз папку. В диспетчере задач, в Автозагрузке нашла его и правой клавишей мыши перешла в Расположение файла. Папка называлась Home\Dorm\crypt.exe Там был и Uninstall

Написать комментарий

Поиск по сайту

Статистика

Мета
  Разработка и дизайн — StvPromo.ru