вирус меняющий днс [UDS:DangerousObject.Multi.Generic]

Printable View

04.02.2019, 13:01
gradproekt

вирус меняющий днс [UDS:DangerousObject.Multi.Generic]

добрый день.
есть вирус который меняет днс в свойствах сетевой карты на какой то не понятный , посмотрите пожалуйста
04.02.2019, 13:02
Info_bot

Уважаемый(ая) [B]gradproekt[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.02.2019, 21:22
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\sysuser\svchost.exe');
StopService('MSSystem');
QuarantineFile('C:\WINDOWS\system32\01.tmp', '');
QuarantineFile('c:\windows\system32\sysuser\svchost.exe', '');
QuarantineFileF('c:\windows\system32\sysuser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
DeleteFile('C:\WINDOWS\system32\01.tmp', '32');
DeleteFile('c:\windows\system32\sysuser\svchost.exe', '');
DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe', '32');
DeleteService('fnhpkehoa');
DeleteService('lqbewqh');
DeleteService('MSSystem');
DeleteService('qaswxitse');
DeleteService('sveur');
DeleteFileMask('c:\windows\system32\sysuser', '*', true);
DeleteDirectory('c:\windows\system32\sysuser');
DeleteSchedulerTask('At1.job');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
06.02.2019, 10:10
gradproekt

карантин отправил
06.02.2019, 12:23
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Tcpip\..\Interfaces\{A2118896-0C1B-4E58-BFD1-3DD6E0EA9A9F}: [NameServer] 37.10.116.200,8.8.8.8
S2 nvpsaeqde; C:\WINDOWS\system32\zdutst.dll [X]
NETSVC: nvpsaeqde -> C:\WINDOWS\system32\zdutst.dll ==> No File
2018-01-22 16:27 - 2018-01-22 16:27 - 000000042 _____ () C:\Documents and Settings\filippova\Local Settings\Application Data\wsr28zt32.dll
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\"::
WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario']
HKLM\...\regfile\DefaultIcon: <==== ATTENTION
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\sysuser\system.exe] => Enabled:SYSTEM
CMD: ipconfig /flushdns
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой. Роутер не Mikrotik, случайно?

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
06.02.2019, 13:58
gradproekt

Вложений: 2

пока все нормально.
да, роутер микротик
06.02.2019, 14:03
Vvvyg

[QUOTE]--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.0.42.34 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Reader 9.1 v.9.1.0 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Acrobat Reader DC[/url][/b].[/QUOTE]Обновите, программы с критическими уязвимостями.

Роутер проверьте на последствия взлома: [URL="https://habr.com/post/359038/"]Уязвимость Mikrotik позволяет получать список всех пользователей через winbox[/URL].
06.02.2019, 14:13
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]5[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\system32\sysuser\svchost.exe - [B]UDS:DangerousObje=
ct.Multi.Generic[/B] ( BitDefender: Backdoor.Generic.201806 )[/LIST][/LIST]