Вирус Backdoor.Win32.Shiz.* или «почему у меня не открывается gmail?»

Вчера схватил набирающего обороты зверюгу по имени Shiz.
Началось это бедствие внезапно, с фразы «Гугль верни мою почту!», т.к. основным проявлением, с которым я столкнулся, была невозможность зайти в GMail и почтовые ящики привязанные в Google Apps. Кроме того, отказал поиск картинок от гугля и еще кой-какая мелочь.

Разумеется, первым делом был проверен hosts, который, как ни странно, оказался девственно чист. Затем подозрение пал она свежеобновившийся Chrome, хотя тут были сильные сомнения – GMail не открывается в гуловском же браузере. Сомнения быстро подтвердились: файрфокс и ослик были совершенно солидарны с хромом и отказывали мне в упражнениях в эпистолярном жанре. Делать нечего – пришлось перезапускаться в подернутый пылью Linux (и это не метафора: жесткий диск с линуксом внешний и действительно страдает от седых пыльных сугробов).

Помыкавшись день в SuSe дабы ~~приобщиться к чудесам современной техники~~ написать несколько деловых писем, я вернулся к окнам и вооружившись Wireshark-ом достаточно быстро нашел причины непотребного поведения своих браузеров.

Какая-то животинка разукрасила всю таблицу роутинга. Если у вас похожие симптомы – наберите в командной строке route print.

В результате появился внушительный список, куда входили и сайты антивирусов и много чего еще.

128.111.48.0 255.255.255.0 192.168.1.0 1

128.130.56.0 255.255.255.0 192.168.1.0 1

128.130.60.0 255.255.255.0 192.168.1.0 1

139.91.222.0 255.255.255.0 192.168.1.0 1

141.202.248.0 255.255.255.0 192.168.1.0 1

149.101.225.0 255.255.255.0 192.168.1.0 1

150.70.93.0 255.255.255.0 192.168.1.0 1

155.35.248.0 255.255.255.0 192.168.1.0 1

165.160.15.0 255.255.255.0 192.168.1.0 1

162.40.10.0 255.255.255.0 192.168.1.0 1

166.70.98.0 255.255.255.0 192.168.1.0 1

18.85.2.0 255.255.255.0 192.168.1.0 1

188.93.8.0 255.255.255.0 192.168.1.0 1

192.150.94.0 255.255.255.0 192.168.1.0 1

193.0.6.0 255.255.255.0 192.168.1.0 1

193.1.193.0 255.255.255.0 192.168.1.0 1

193.110.109.0 255.255.255.0 192.168.1.0 1

193.17.85.0 255.255.255.0 192.168.1.0 1

193.193.194.0 255.255.255.0 192.168.1.0 1

193.24.237.0 255.255.255.0 192.168.1.0 1

193.66.251.0 255.255.255.0 192.168.1.0 1

193.69.114.0 255.255.255.0 192.168.1.0 1

193.71.68.0 255.255.255.0 192.168.1.0 1

194.0.200.0 255.255.255.0 192.168.1.0 1

194.109.142.0 255.255.255.0 192.168.1.0 1

194.112.106.0 255.255.255.0 192.168.1.0 1

194.206.126.0 255.255.255.0 192.168.1.0 1

194.33.180.0 255.255.255.0 192.168.1.0 1

195.137.160.0 255.255.255.0 192.168.1.0 1

195.146.235.0 255.255.255.0 192.168.1.0 1

195.2.240.0 255.255.255.0 192.168.1.0 1

195.210.42.0 255.255.255.0 192.168.1.0 1

195.55.72.0 255.255.255.0 192.168.1.0 1

195.64.225.0 255.255.255.0 192.168.1.0 1

195.70.37.0 255.255.255.0 192.168.1.0 1

198.6.49.0 255.255.255.0 192.168.1.0 1

199.203.243.0 255.255.255.0 192.168.1.0 1

203.160.188.0 255.255.255.0 192.168.1.0 1

204.14.90.0 255.255.255.0 192.168.1.0 1

205.178.145.0 255.255.255.0 192.168.1.0 1

205.227.136.0 255.255.255.0 192.168.1.0 1

206.204.52.0 255.255.255.0 192.168.1.0 1

207.44.154.0 255.255.255.0 192.168.1.0 1

207.46.18.0 255.255.255.0 192.168.1.0 1

207.46.20.0 255.255.255.0 192.168.1.0 1

207.46.232.0 255.255.255.0 192.168.1.0 1

207.66.0.0 255.255.255.0 192.168.1.0 1

208.79.250.0 255.255.255.0 192.168.1.0 1

209.124.55.0 255.255.255.0 192.168.1.0 1

209.157.69.0 255.255.255.0 192.168.1.0 1

209.160.22.0 255.255.255.0 192.168.1.0 1

209.216.46.0 255.255.255.0 192.168.1.0 1

209.51.167.0 255.255.255.0 192.168.1.0 1

209.62.112.0 255.255.255.0 192.168.1.0 1

209.62.68.0 255.255.255.0 192.168.1.0 1

209.87.209.0 255.255.255.0 192.168.1.0 1

212.47.219.0 255.255.255.0 192.168.1.0 1

212.67.88.0 255.255.255.0 192.168.1.0 1

212.72.62.0 255.255.255.0 192.168.1.0 1

212.8.79.0 255.255.255.0 192.168.1.0 1

213.133.34.0 255.255.255.0 192.168.1.0 1

213.171.218.0 255.255.255.0 192.168.1.0 1

213.198.89.0 255.255.255.0 192.168.1.0 1

213.220.100.0 255.255.255.0 192.168.1.0 1

213.31.172.0 255.255.255.0 192.168.1.0 1

216.10.192.0 255.255.255.0 192.168.1.0 1

216.12.145.0 255.255.255.0 192.168.1.0 1

216.239.122.0 255.255.255.0 192.168.1.0 1

216.246.90.0 255.255.255.0 192.168.1.0 1

216.49.88.0 255.255.255.0 192.168.1.0 1

216.49.94.0 255.255.255.0 192.168.1.0 1

216.55.183.0 255.255.255.0 192.168.1.0 1

216.99.133.0 255.255.255.0 192.168.1.0 1

217.106.234.0 255.255.255.0 192.168.1.0 1

217.16.16.0 255.255.255.0 192.168.1.0 1

217.170.21.0 255.255.255.0 192.168.1.0 1

217.174.103.0 255.255.255.0 192.168.1.0 1

38.113.1.0 255.255.255.0 192.168.1.0 1

62.14.249.0 255.255.255.0 192.168.1.0 1

62.146.210.0 255.255.255.0 192.168.1.0 1

62.146.66.0 255.255.255.0 192.168.1.0 1

62.189.194.0 255.255.255.0 192.168.1.0 1

62.213.110.0 255.255.255.0 192.168.1.0 1

62.75.163.0 255.255.255.0 192.168.1.0 1

62.75.216.0 255.255.255.0 192.168.1.0 1

63.85.36.0 255.255.255.0 192.168.1.0 1

64.128.133.0 255.255.255.0 192.168.1.0 1

64.13.134.0 255.255.255.0 192.168.1.0 1

64.202.189.0 255.255.255.0 192.168.1.0 1

64.246.4.0 255.255.255.0 192.168.1.0 1

64.41.142.0 255.255.255.0 192.168.1.0 1

64.41.151.0 255.255.255.0 192.168.1.0 1

64.66.190.0 255.255.255.0 192.168.1.0 1

64.78.182.0 255.255.255.0 192.168.1.0 1

65.175.38.0 255.255.255.0 192.168.1.0 1

65.55.184.0 255.255.255.0 192.168.1.0 1

65.55.240.0 255.255.255.0 192.168.1.0 1

66.223.50.0 255.255.255.0 192.168.1.0 1

66.249.17.0 255.255.255.0 192.168.1.0 1

66.77.70.0 255.255.255.0 192.168.1.0 1

67.134.208.0 255.255.255.0 192.168.1.0 1

67.15.103.0 255.255.255.0 192.168.1.0 1

67.15.231.0 255.255.255.0 192.168.1.0 1

67.19.34.0 255.255.255.0 192.168.1.0 1

67.192.135.0 255.255.255.0 192.168.1.0 1

67.225.206.0 255.255.255.0 192.168.1.0 1

67.227.172.0 255.255.255.0 192.168.1.0 1

68.177.102.0 255.255.255.0 192.168.1.0 1

69.162.79.0 255.255.255.0 192.168.1.0 1

69.18.148.0 255.255.255.0 192.168.1.0 1

69.20.104.0 255.255.255.0 192.168.1.0 1

69.57.142.0 255.255.255.0 192.168.1.0 1

69.93.226.0 255.255.255.0 192.168.1.0 1

70.84.211.0 255.255.255.0 192.168.1.0 1

72.232.246.0 255.255.255.0 192.168.1.0 1

72.3.254.0 255.255.255.0 192.168.1.0 1

72.32.125.0 255.255.255.0 192.168.1.0 1

72.32.149.0 255.255.255.0 192.168.1.0 1

72.32.70.0 255.255.255.0 192.168.1.0 1

74.125.77.0 255.255.255.0 192.168.1.0 1

74.208.158.0 255.255.255.0 192.168.1.0 1

74.208.20.0 255.255.255.0 192.168.1.0 1

74.50.0.0 255.255.255.0 192.168.1.0 1

74.52.233.0 255.255.255.0 192.168.1.0 1

74.53.201.0 255.255.255.0 192.168.1.0 1

74.55.40.0 255.255.255.0 192.168.1.0 1

75.125.29.0 255.255.255.0 192.168.1.0 1

75.125.82.0 255.255.255.0 192.168.1.0 1

78.108.86.0 255.255.255.0 192.168.1.0 1

78.137.164.0 255.255.255.0 192.168.1.0 1

78.47.87.0 255.255.255.0 192.168.1.0 1

79.125.5.0 255.255.255.0 192.168.1.0 1

80.153.193.0 255.255.255.0 192.168.1.0 1

80.190.130.0 255.255.255.0 192.168.1.0 1

80.190.154.0 255.255.255.0 192.168.1.0 1

80.237.132.0 255.255.255.0 192.168.1.0 1

80.86.107.0 255.255.255.0 192.168.1.0 1

81.176.66.0 255.255.255.0 192.168.1.0 1

81.177.31.0 255.255.255.0 192.168.1.0 1

81.24.35.0 255.255.255.0 192.168.1.0 1

82.117.238.0 255.255.255.0 192.168.1.0 1

82.151.107.0 255.255.255.0 192.168.1.0 1

82.165.103.0 255.255.255.0 192.168.1.0 1

82.98.86.0 255.255.255.0 192.168.1.0 1

83.202.175.0 255.255.255.0 192.168.1.0 1

83.222.23.0 255.255.255.0 192.168.1.0 1

83.222.31.0 255.255.255.0 192.168.1.0 1

83.223.117.0 255.255.255.0 192.168.1.0 1

84.40.30.0 255.255.255.0 192.168.1.0 1

85.12.57.0 255.255.255.0 192.168.1.0 1

85.17.210.0 255.255.255.0 192.168.1.0 1

85.214.106.0 255.255.255.0 192.168.1.0 1

85.255.19.0 255.255.255.0 192.168.1.0 1

85.31.222.0 255.255.255.0 192.168.1.0 1

87.106.242.0 255.255.255.0 192.168.1.0 1

87.106.254.0 255.255.255.0 192.168.1.0 1

87.230.79.0 255.255.255.0 192.168.1.0 1

87.238.48.0 255.255.255.0 192.168.1.0 1

87.242.72.0 255.255.255.0 192.168.1.0 1

87.242.74.0 255.255.255.0 192.168.1.0 1

87.242.79.0 255.255.255.0 192.168.1.0 1

88.221.119.0 255.255.255.0 192.168.1.0 1

89.108.66.0 255.255.255.0 192.168.1.0 1

89.111.176.0 255.255.255.0 192.168.1.0 1

89.202.149.0 255.255.255.0 192.168.1.0 1

89.202.157.0 255.255.255.0 192.168.1.0 1

90.156.159.0 255.255.255.0 192.168.1.0 1

90.183.101.0 255.255.255.0 192.168.1.0 1

91.121.97.0 255.255.255.0 192.168.1.0 1

91.199.212.0 255.255.255.0 192.168.1.0 1

91.209.196.0 255.255.255.0 192.168.1.0 1

92.123.155.0 255.255.255.0 192.168.1.0 1

92.53.106.0 255.255.255.0 192.168.1.0 1

93.184.71.0 255.255.255.0 192.168.1.0 1

93.191.13.0 255.255.255.0 192.168.1.0 1

94.23.206.0 255.255.255.0 192.168.1.0 1

94.236.0.0 255.255.255.0 192.168.1.0 1

95.140.225.0 255.255.255.0 192.168.1.0 1

74.55.74.0 255.255.255.0 192.168.1.0 1

75.125.185.0 255.255.255.0 192.168.1.0 1

174.120.186.0 255.255.255.0 192.168.1.0 1

208.43.71.0 255.255.255.0 192.168.1.0 1

74.53.70.0 255.255.255.0 192.168.1.0 1

74.86.232.0 255.255.255.0 192.168.1.0 1

74.54.139.0 255.255.255.0 192.168.1.0 1

174.133.38.0 255.255.255.0 192.168.1.0 1

174.120.185.0 255.255.255.0 192.168.1.0 1

174.120.184.0 255.255.255.0 192.168.1.0 1

74.54.130.0 255.255.255.0 192.168.1.0 1

74.54.46.0 255.255.255.0 192.168.1.0 1

75.125.189.0 255.255.255.0 192.168.1.0 1

75.125.43.0 255.255.255.0 192.168.1.0 1

74.86.125.0 255.255.255.0 192.168.1.0 1

207.44.254.0 255.255.255.0 192.168.1.0 1

75.125.212.0 255.255.255.0 192.168.1.0 1

83.102.130.0 255.255.255.0 192.168.1.0 1

87.242.75.0 255.255.255.0 192.168.1.0 1

81.176.67.0 255.255.255.0 192.168.1.0 1

212.59.118.0 255.255.255.0 192.168.1.0 1

188.40.74.0 255.255.255.0 192.168.1.0 1

208.43.44.0 255.255.255.0 192.168.1.0 1

62.67.184.0 255.255.255.0 192.168.1.0 1

74.55.143.0 255.255.255.0 192.168.1.0 1

К счастью, подобная мазня аккуратно счищается командой route -f с последующим сбросом сетевого подключения. Тем временем проснувшийся Касперский гневно завизжал на зашевелившийся процесс из папки C:\Windows\system32.exe, которому там быть явно не полагалось.

Будьте бдительны и удачи.

This entry was posted on Четверг, Июль 15th, 2010 at 18:20 and is filed under Вирусня. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

К этой записи несколько комментариев (20)

karaboz:

20.07.2010 в 04:06

Не могу не выразить вам преогромнейшей благодарности за это послание! Я целую неделю мучился невозможностью пользоватьтся сервисами Google. Впервые в жизни у меня появилась крамольная мысль – попробовать другую почту (не Gmail). Всё пенял на Гугл, мол у него чего-то не работает.

В результате убедился, что это только у меня не работает, на конкретном компьютере. Начал пенять на провайдера. В результате проверился на вирусы и поудалял штук 7 упомянутых вами «шизов». И всё равно – даже после этого – ничего не хотело открываться. Мне стали советовать переустановить винду, чего очень не хотелось бы делать сейчас.

Обыскался в интернете, что же это такое может быть. И после многочасовых поисков – ваша спасительная публикация!!! Чего может быть проще: route -f (если б я знал, что это за звероь такой, хехе).

Ещё раз, премного-много-мсного раз вас благодарю!
Nofate:

20.07.2010 в 10:10

На то он и Интернет, чтобы общими усилиями бороться.
Имейте ввиду: route -f это конечно хорошо, но найти и вылечить/удалить сам вирус крайне необходимо (надеюсь вы это сделали). Ведь он кроме того, что портит таблицу роутинга, перехватывает данные платежных систем.
Cron:

03.08.2010 в 00:56

Внесу свои 5 копеек, т.к. только-что заборол зверя Backdoor.Win32.Shiz.oc Данная «зверушка» заселилась в Sydtem Volume Information, откедова благополучно возрождалась после процедуры убиения её Каспером, и заново прописывала весь список «неугодных» айпишников обратно в реестр. Грохнул так: отключил точку восстановления системы, очистил весь список PersistentRoutes в реестре, проутюжил каспером. Инет заработал, антивирь обновился…
инка:

07.09.2010 в 17:02

спасибо ребятки оч помогли=)
Евгений:

08.09.2010 в 13:54

Спасибо ОГРОМНОЕ!!!!!!!!!! Как хорошо что есть профессионалы!!!!!))))
Евгкеий:

20.09.2010 в 19:37

Хех, спасибо. Даже стыдно, что сам не допёр таблицу маршрутизации посмотреть.
Андрей:

28.09.2010 в 07:13

Огроменное спасибо, просто нереально помогло!
Просто, если бы была возможность то поставил бы пиво:)
Nofate:

28.09.2010 в 09:18

Если бы была возможность, от пива я бы учтиво отказался
Кирилл:

05.10.2010 в 14:50

Большое спасибо!!! сидит эта гадость где-то, каспер найти не может, каждый день как дурак проделываю route -f , и каждый день эта гадость возвращается… не пойму где сидит… каспер весь комп проверил и нифига… мож кто знает, что можно сделать, а то каждый день таблицу чистить и из папки windows/system32 exe-шник удалять надоело…
Кирилл:

05.10.2010 в 18:07

стало хуже… shiz-а больше нет, но теперь появился virus.win32.protector.h … это ппц, системный процесс Svchost.exe запущен из под админа, это явно вирус… касперский постоянно ругается на cdrom.sys постоянно лечит, потом опять видит в нем вирус, опять лечит и т.д. ЧТО ДЕЛАТЬ???
Анастасия:

10.11.2010 в 03:18

Спасибо!!! 3 месяца мучалась – не открывалась почта gmail.
«route -f» помогло)
Nofate:

10.11.2010 в 09:58

Очень рад )
baxok:

13.12.2010 в 14:12

ОГРОМНЕЙШЕЕ спасибо! жил, натыкаясь на эту проблему несколько месяцев! очень благодарен
kupolina:

04.01.2011 в 14:16

спасибо огромное!!!!!!!!
Наконец-то!!! )))))))))
Павел:

15.03.2011 в 23:17

Спасибо! Помогло!
Илья:

23.03.2011 в 14:31

Спасибо Большое за помощь!!!
lacemaker:

28.04.2011 в 11:07

А еще если google.ru, google.com, гуглопочта и часть сайтов внезапно перестают открываться – возможно, у вас просто dns затупил. Тогда можно добавить в список dns гугловский – 8.8.8.8, помогает. Конечно, если отвалился именно днс, а не интернет целиком
haos:

04.05.2011 в 09:43

Нужно было подать заявку на virusinfo.info и не забивать голову глупостями.
Nofate:

04.05.2011 в 13:26

В чем вы видите глупость?
GTAlex.ru:

18.01.2012 в 10:38

Была подобная проблема с Gmail.
Данные советы не помогли.
Оказалось Kryptic.PHG
Как я его победил – на блоге подробно
http://gtalex.ru/ne-otkryvaetsya-gmail-borba-s-kryptic-phg