Здравствуйте.
С недавнего времени Eset Smart Security стал "кричать" об атаке, называемой DNS cache spoining (или как то так,точно не помню,ибо писал по памяти).Одна из записей лога ESS:
29.10.2012 19:39:19 Обнаружена атака путем подделки записей кэша DNS 10.163.182.11:53 10.221.26.145:55270 UDP
При том что я пользуюсь 3g интернетом от Мегафона...Это нормально? А то я чувствую что-то неладное...Нужные Вам логи во вложениях.
Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Дмитрий Сивожелезов, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
- Сделайте лог полного сканирования МВАМ.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Дело сделано!(с)
Файл сохранён как 121030_081104_virusinfo_files_LONER-XP_508f8b9821a75.zip
Размер файла 28972566
MD5 80419da57d7376bc240612e78bffeb7f
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\Program Files\SaveHWIDs.exe', 'MBAM: Trojan.Glox'); QuarantineFile('C:\Program Files\safesurf\safesurf.exe', 'MBAM: Trojan.Downloader'); QuarantineFile('D:\Установщики,ЕХЕшники\Setup-p2.exe', 'MBAM: Trojan.AVKill'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
safesurf - сами ставили ?
Safesurf-да,сам ставил.Но я им сейчас не пользуюсь так что могу смело удалить))Побежал выполнять скрипты...
- - - Добавлено - - -
Карантин выслал.Вы уж меня простите,но я с него удалил всё не нужное,потому что архив получается ну уж больно увесистый(порядка 110 мб,а у меня тарифный план 60мб в день),оставил только SaveHWIDs и safesurf. Setup-p2 это патч с какого-то пиратского сервера от игры Perfect World(весил он 20мб),я в эту игру уже не играю.Поэтому он вряд ли имеет какое то отношение к проблеме)
папку с карантином AVZ можете удалять полностью. Плохого ничего не видно.
C:\Program Files\SaveHWIDs.exe - оказался чистым.
Сделайте лог MiniToolBox
Готово)
Что-то пока спокоен фаервол...
Хотя я думаю не факт что эти сообщения не будут появляться вновь.
Ничего плохого не видно, возможно ложные срабатывания из-за виртуалки (если повторится обратите внимание, в это время она у вас запущена или нет и т.д.)
Safesurf если не пользуетесь советую удалить (для надёжности после удаления можно проверить MBAM).
MBAM тоже советую деинсталировать.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
+ Советы и рекомендации после лечения компьютера
Может быть и виртуалка,может быть провайдер Мегафон шаманит (атакующий днс-то его)
Что касается ScanVuln.txt - это я уже сделал,как только увидел этот файл в какой-то теме.
Практически все обновления поставил (на офис пока не могу,ибо там надо сервис-паки качать,а это опять же огромный трафик)
MBAM лучше пусть стоит.Здорово пока не мешает.Может быть он мне ещё пригодится))
Спасибо большое!
MBAM иногда конфликтует с другими программами + обычно ложно ругается на практически любую сетевую активность (у него вообще часто фолсы), но если не мешает пусть стоит.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Дмитрий Сивожелезов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
