Junior Member
Вес репутации
55
AVZ - подозрение на троянский DNS
Решил проверить систему с помощью AVZ.
Вызвыла беспокоиство строчка о подозрении на троянский днс...
И насчет перехватчиков красным...
Может зараза какая завелась?
Вообще проверяю регулярно Нодом32, бывает что то находит и удаляет, может недоудалял?
Логи приложены. Посмотрите пожалуйста.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Установите AVZPM и повторите логи...
Вот это можно сразу пофиксить:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{07ADBFF1-F252-4934-8648-1BDAB78EC2DD}: NameServer = 85.255.112.165,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{07ADBFF1-F252-4934-8648-1BDAB78EC2DD}: NameServer = 85.255.112.165,85.255.112.216
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216
O17 - HKLM\System\CS2\Services\Tcpip\..\{07ADBFF1-F252-4934-8648-1BDAB78EC2DD}: NameServer = 85.255.112.165,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216
I am not young enough to know everything...
Junior Member
Вес репутации
55
Сообщение от
Гриша
Установите AVZPM и повторите логи...
Что это и где взять?
Junior Member
Вес репутации
55
Как пофиксить? Просто удалить из реестра?
И откуда это? чтоб предотвратить в дальнейшем?
4. Запрещено цитирование слишком больших текстов (оверквоттинг),
Последний раз редактировалось Rene-gad; 05.05.2009 в 14:35 .
Причина: оверквотинг удален
Сделайте что я попросил...
Junior Member
Вес репутации
55
Вложения
Сообщение от
AlexE2009
Как пофиксить?
Что значит "пофиксить с помощью HijackThis"?
Добавлено через 4 минуты
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('I:\windows\system32\drivers\gaopdxtmtndyoygtexrmlsfncpapppactdcnty.sys','');
DeleteFile('I:\windows\system32\drivers\gaopdxtmtndyoygtexrmlsfncpapppactdcnty.sys');
DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=45156 ).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Последний раз редактировалось Bratez; 05.05.2009 в 14:35 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
55
всё сделал
после перезагрузки нод заорал что в /system32/ троян и удалил его
Вложения
Junior Member
Вес репутации
55
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('navigator');
QuarantineFile('I:\WINDOWS\fd.dll','');
QuarantineFile('I:\Documents and Settings\Alex\Application Data\AdobeUM\A346D81075266088\A346D81075266088','');
DeleteFile('I:\WINDOWS\fd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('navigator');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Сообщение от
AlexE2009
Скажите, что это было?
А вот что нод сказал, то и было! Вы ж пустой карантин прислали.
На будущее: антивирус нужно отключать при выполнении скриптов в AVZ.
I am not young enough to know everything...
Junior Member
Вес репутации
55
Сообщение от
Bratez
А вот что нод сказал, то и было! Вы ж пустой карантин прислали.
На будущее: антивирус нужно отключать при выполнении скриптов в AVZ.
Отключил нод, восстановил из нодовского карантина, прислал заново, смотрите...
DrWEB 5.0=Зловред BackDoor.Tdss.115 ; VBA32=Зловред Trojan.Win32.Olmarik.37 ; BitDefender=Зловред Gen:Trojan.Heur.TDSS.207C83B3B3
Касперский пока не знает...
Junior Member
Вес репутации
55
2 Гриша
ВСе сделал логи положил...
Короче с "пофиксиньем" в реестре такая петрушка:
удаляю эти строчки - ни в ие, ни в гугле хроме ни одна страница не открывается, восстанавливаю - всё работает...
Вложения
Junior Member
Вес репутации
55
Сообщение от
Гриша
DrWEB 5.0=Зловред BackDoor.Tdss.115 ; VBA32=Зловред Trojan.Win32.Olmarik.37 ; BitDefender=Зловред Gen:Trojan.Heur.TDSS.207C83B3B3
Касперский пока не знает...
А почему нод эту заразу не видел, пока авзшный скрипт не выполнил?
\Utils\avz4\avz4\Quarantine\2009-05-05\avz00001.dta - Win32/Agent.PAX троянская программа - очищен удалением - изолирован [1]
Добавлено через 14 минут
2 Гриша
Еще вопрос:
Вот это откуда могло взяться: 'I:\Documents and Settings\Alex\Application Data\AdobeUM\
Может вообще эту папку удалить?
Последний раз редактировалось AlexE2009; 05.05.2009 в 16:02 .
Причина: Добавлено
Где карантин после последнего скрипта?
После того как пофиксили, нужно ввести свои DNS выданные провайдером...
Junior Member
Вес репутации
55
Положил карантин после последнего скрипта
"\Utils\avz4\avz4\Quarantine\2009-05-05\avz00001.dta - Win32/Agent.PAX троянская программа - очищен удалением - изолирован [1]
" - это относилось к второму карантину
А как эти архивы открываются (пароль)? Если не секрет, конечно...
Сообщение от
AlexE2009
А почему нод эту заразу не видел, пока авзшный скрипт не выполнил?
Нод не видит активный руткит. Только когда авз его нейтрализовал и закарантинил - тогда вуаля