подозрение на DNSHijacker подменяющий вводимые dns на 85.255.114.43 и 85.255.112.165 [not-a-virus:AdWare.Win32.FearAds.q, Worm.Win32.AutoRun.xkt ]

Printable View

13.01.2009, 15:11
bazkin

Вложений: 3

подозрение на DNSHijacker подменяющий вводимые dns на 85.255.114.43 и 85.255.112.165 [not-a-virus:AdWare.Win32.FearAds.q, Worm.Win32.AutoRun.xkt ]

Доброго времени суток!

Второй день бьюсь над проблемой: в сети из 2,5 серверов, на одном(ос - XP, но используется в роли web -сервера) слетели днсы :mad:, полез посмотреть в чем дело и обнаружил бяку :blink:: чтобы я не вводил в dns`ах при инициализации физического подключения все время в качестве основного dns вылезает 85.255.114.43 и 85.255.112.165 :mad:. Если сетевое подключение выключено, настройки сохроняются вплоть до момента его включения.

При более близком рассмотрении и использованием программки SpyNoMore нашел в папке \resycler\boot.com :blink:, который программа определила как Zlob DNS Hijacker. удалил его, нашел и удилил в реестре все занчения вида "85.255.114.43;85.255.112.16" не помогло.

Прошу помощи, логи kvz и hijackthis прилагаю
13.01.2009, 15:14
Гриша

Восстановление не отключено, базы не обновлены, переделать логи с установленным AVZPM...
13.01.2009, 16:06
bazkin

Вложений: 3

Учел замечания, вот логи
13.01.2009, 16:19
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxrfdckfvm.sys','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\PROGRA~1\FieryAds\CommLayer.dll','');
DeleteFile('C:\PROGRA~1\FieryAds\CommLayer.dll');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\system32\drivers\msqpdxrfdckfvm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=37287"]http://virusinfo.info/upload_virus.php?tid=37287[/URL]
Повторите логи по правилам.
13.01.2009, 17:01
bazkin

Вложений: 3

Благодарствую, dns`ы выправились:dirol:
14.01.2009, 08:12
light59

В AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\huadio.tmp');
BC_ImportDeletedList;
bc_DeleteSvc('autorun');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
В остальном чисто. жалобы есть?
22.02.2009, 09:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.xkt[/B][*] c:\\progra~1\\fieryads\\commlayer.dll - [B]not-a-virus:AdWare.Win32.FearAds.q[/B] (DrWEB: Adware.FieryAds.4)[*] c:\\progra~1\\fieryads\\fieryads.dll - [B]Trojan.Win32.Agent.augj[/B] (DrWEB: Adware.FieryAds.7)[*] c:\\windows\\system32\\drivers\\msqpdxrfdckfvm.sys - [B]Rootkit.Win32.TDSS.dpw[/B] (DrWEB: Trojan.DnsChange.15)[/LIST][/LIST]