Показано с 1 по 17 из 17.

не возможно изменить ДНСсервера, явно живет что то (заявка № 38388)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29

    Thumbs up не возможно изменить ДНСсервера, явно живет что то

    отловить не получается....
    1. ругается радмин на повреждение самого себя
    2. ругается AVZ на не соответствие контрольной суммы
    3. не открывается ряд ресурсов связаных с антивирусами ...
    3.1 не могу скачать AVPtools последний
    3.2 не обновляется каспер (kaspersky.ru - доступен)
    3.3 не обновляется AVG (avg.com доступен)
    .... короче недоступны какие куски...
    4. ДНС : 85.255.116.119;85.255.112.220
    4.1 при замене через сетевое остаются прежними
    4.2 при замене в реестре остаются прежними
    5. в папке System32 куча файлов вида 00636418586lp.exe

    AhnLab-V3 5.0.0.2 2009.01.27 Win-Trojan/Agent.25088.CL
    Authentium 5.1.0.4 2009.01.27 W32/Proxy.BVA
    Avast 4.8.1281.0 2009.01.27 Win32:Trojan-gen {Other}
    AVG 8.0.0.229 2009.01.27 Proxy.NZL
    eSafe 7.0.17.0 2009.01.27 Suspicious File
    F-Prot 4.4.4.56 2009.01.27 W32/Proxy.BVA
    GData 19 2009.01.27 Win32:Trojan-gen {Other}
    K7AntiVirus 7.10.607 2009.01.27 Trojan-Proxy.Win32.Agent.lp
    Symantec 10 2009.01.27 Trojan Horse
    ViRobot 2009.1.23.1577 2009.01.26 Trojan.Win32.Proxy.25088.H

    PS: полностью все по правилам выполнить нет физической возможность, поэтому :
    полной проверки в безопасном режиме не проводилось
    проводилась в нормальном устарешей авптул на 2недели, кьюретом свежим
    и при проверке от интернета небыло возможности отключить по причине удаленной работы на компе

    вроде все...
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Очевидно, у вас файловый вирус.
    Методика лечения тут: http://virusinfo.info/showthread.php?t=15927. (Рекомендуется способ #1. Запись на CD и безопасный режим - обязательно, иначе ничего не выйдет).

    После этого скачайте заново AVZ и HijackThis, обновите базы AVZ и сделайте еще раз логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    думаю что это очевидно не поможет, явно надо подозрительное на анализ, virustotal.com очевидно на один из хвостов вируса выдал то что написано в сообщении выше, те ни касперский ни дрвеб ни нод32 ничего подозрительного не нашли....

    еще раз повторю к машине нет полного физического доступа... в защищенный режим ее сложно ввести...

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    virustotal.com очевидно на один из хвостов вируса выдал то что написано в сообщении выше, те ни касперский ни дрвеб ни нод32 ничего подозрительного не нашли....
    Троян женерик мы вам и без антивирусов найдем, надо сначала файловый убить.

    еще раз повторю к машине нет полного физического доступа... в защищенный режим ее сложно ввести...
    В данном случае без этого вам сам Господь Бог не поможет.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    вообщем вчера выкинул 1 из файлов (753475lp.exe) из system32 вебу на анализ

    и на ночь притащил комп домой...
    проверил его liveCD dr web, потом разархивированом и записаном на диск на чистой машине cureit-ом... ровным счетом ничего не нашли даже подозрений нет

    после сделаны логи согласно правилам
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    AVZPM установите и сделайте новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    включил...

    ловите...
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\systemroot\system32\drivers\msqpdxmqltoiqh.sys','');
     DeleteFile('\systemroot\system32\drivers\msqpdxmqltoiqh.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксить

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1CBFB5CC-D82A-46E6-AC75-0ED74D941902}: NameServer = 85.255.116.119;85.255.112.220
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
    Пришлите карантин по правилам и повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    вообщем почти по правилам сделано, на компьютере уже много работы поэтому пришлось делать как есть... или будет опять задержка в логах... как минимум до вечера
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    В логах чисто, установите SP3+all updates...

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Еще хорошо бы сделать полную проверку а/вирусом или Куреитом для зачистки остатков.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    прошу объяснить смысл запускать кьюрит, если лив сиди веба ровным счетом ничего не нашел... вы наверное не внимательно читали посты выше

    кстати что с набором мусора в систем32 ? мне совсем не понятно почему их не видит кьюрит и авптул...

    вообщем все фигня вы на 100% уверены что лиги полностью чистые на данный момент ... если да будем систем 32 ручками зачищать... и радмина переставлять ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Я все читал, но не понял: проверка куреитом была экспресс, как по умолчанию, или полной?
    Можно провести зачистку альтер. утилитами типа Combofix, у нас на сайте они не приветствуются, т.к. иногда удаляют лишнее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    все проверки которые проводились были полными...

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Да в логах чисто, если в system32 остался мусор мы не виноваты, драйвер грохнут без него dll' ки не работают, их можно удалять руками, поэтому они и в лог не попадают, неактивны...

  17. #16
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    29
    Большое всем спасибо! Глюков и подозрительного на компе не обнаружено... премного благодарен...

    ЗЫ: вынес некоторый полезный опыт в исследовании системы и поиске глюков

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\msqpdxmqltoiqh.sys - Rootkit.Win32.TDSS.eyj


  • Уважаемый(ая) virussnu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 22
      Последнее сообщение: 14.08.2011, 10:02
    2. Ответов: 23
      Последнее сообщение: 03.12.2010, 22:28
    3. явно вирусы
      От qwertyqwerty11 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 28.07.2010, 15:55
    4. Виснет Эксплорер, явно что-то тут не так...
      От cedecede в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.11.2008, 22:11
    5. явно сидит зловред
      От cavetroll в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.06.2008, 10:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01560 seconds with 22 queries