я не обнаружил в логах никаких признаков заражения.Сообщение от Alex_Tesla
Когда Вы последний раз патчили систему?
я не обнаружил в логах никаких признаков заражения.
Когда Вы последний раз патчили систему?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
вы про критические обновления от Майкрософт? с момента установки SP2 ничего больше не ставил... видимо в этом все дело?
Сейчас звонил знакомый, в его организации 4 машины с такими же симптомами один в один.
С большой степенью вероятности - да. Может статься, что сразу после удаления зараза снова проникает - через незакрытую уязвимость. Вам не хватает всего примерно 180 заплаток, вышедших с момента выпуска СП2.
ок, завтра поставлю, сообщу результат
Это может быть причиной, но явно видимого зверя в процессах/библиотекая не видно, в том то и загвоздка. Я советую:
1. Выполнит команды ping www.yandex.ru и ping www.google.com, и прислать нам полученные логи (в принципе логи не очень нужны - достаточно IP адресов из них). Логика - если IP правильный, то не DNS не грешим, если кривой - то будем искать причину
2. Следует попробовать поискать в реестре фрагменты тех URL, которые открываются вместо поисковиков. Может, найдется что интересное
3. Следует проверить настройки соединения с Инет, в особенности - DNS. Для этого удобно выполнить команду
ipconfig /all > ipsetup.txt - я советую приаттачить сюда такой лог с пораженной машины, попробуем поискать аномалии
4. Как реализован выход в Инет ? (прямое соединение, прокси ...) ?
Я просто констатитую ститистику - последнее время все чаще попадаются зловреды, которые шалят с DNS - прописываю свой сервер вместо нормального или подменяют запросы
1. Обмен пакетами с yandex.ru [213.180.204.11] по 32 байт
Обмен пакетами с google.com [64.233.187.99] по 32 байт
2. В том-то и дело, что вместо поисковиков открывается стандартная страничка 404. Хотя обмен с инетом происходит. Через FireFox все нормально, все странички открываются.
3. По ipconfig увидел помимо родного левый DNS 193.91.69.226
4. В инет хожу dial-up-ом, через NAT, все получаю от DHCP
Уточнение, если пытаюсь удалять строчки зон доверенных узлов в безопасном режиме, они тут же появляются обратно в этом же безопасном режиме.
Последний раз редактировалось Alex_Tesla; 30.04.2007 в 17:21.
это что-то венгерское
Я лично предпочел бы бокал токайскогоinetnum: 193.91.64.0 - 193.91.95.255
org: ORG-EN3-RIPE
admin-c: ENA8-RIPE
netname: HU-ELENDER-980122
descr: Euroweb Internet Service Provider Corporation
country: HU
tech-c: ENO7-RIPE
status: ALLOCATED PA "status:" definitions
address: Puskas Tivadar utca 8-10
address: H-2040
address: Budaors
address: Hungary
phone: +36 1 8897000
fax-no: +36 1 8897100
Зоны чешские, DNS венгерский, а поисковики не открываются русские.
Принудительно выставил DNS, ipconfig показал, что все ровно, только закавыка осталась в полном объеме.
Последний раз редактировалось Alex_Tesla; 30.04.2007 в 17:32.
1. IP правильные - значит, проблема не на уровне подмены DNS
2. Это наводит на проблемы где-то на уровне IE, что нам и требовалось доказать
3. Левый DNS конечно нужно прибить - для чистоты опыта. Но ввиду п.п. 1-2 это ничего не изменит
4. Ясно.
В логах аномалии я не вижу ... но похоже, где-то в системе имется троянский код.
Совет: скачать regmon (http://www.sysinternals.com) и посмотреть, что происходит при удалении зон IE в защищенном режиме. Раз настройки восстанавливаются, то есть шанся увидеть, кто их восстанавливает. Аналогичный опыт следует повторить и в обычном режиме.
Далее еще просьба. Нужно:
1. Включить AVZPM
2. Перезагрузиться и сделать сканирование в обчном режиме - кнопка "Пуск" AVZ без всяких настроек. Если в логе в п.п. 1.4 что-то появится, то этот фрагмент лога следует прицепить сюда - для изучения.
3. Запустить IE
4. Вручную запустить исследование. Для этого в открывает п.п. меню "Файл/Исследование системы" AVZ, там переключить настройку для служб и драйверов - включить "Все службы и драйверы" и поставить внизу птичку "Создать zip архив".
Полученный лог слудуетприаттачить сда - нам на анализ.
Далее еще один опыт:
1. Следует закрыть все присложение
2. Запускаем AVZ, Файл/Стандартные скрипты, отметить скрипт номер 1 и нажать выполнить
3. Включаем AVZGuard
4. Из меню AVZGuard запускаем C:\Program Files\Internet Explorer\iexplore.exe как доверенное приложение.
5. Пробуем открыть любой поисковик - интересен результат
6. Отключаем AVZGuard и перезагружаемся
И еще опыт - следует запустить AVZ и выполнить скрипт:
Если что-то найдется - лог следует приаттачить в виде текстового файла сюда.Код:begin RegSearch('HKLM', '', 'yandex'); RegSearch('HKLM', '', 'google'); RegSearch('HKCU', '', 'yandex'); RegSearch('HKCU', '', 'google'); end.
Последний раз редактировалось Зайцев Олег; 30.04.2007 в 18:16.
это становиться уже совсем интересноКод:Здравствуйте, explorer.exe_, IEXPLORE.exe_ Вредоносный код в файлах не обнаружен. Пожалуйста, при ответе включайте переписку целиком. -- С уважением, Дмитрий Швецов Вирусный аналитик Лаборатории Касперского. e-mail: [email protected] http://www.kaspersky.com/ http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами. http://www.kaspersky.com/helpdesk.html - техническая поддержка > Attachment: 070430_155621_ie_end_expl_4635d965803a4.zip > VirusInfo Из темы http://virusinfo.info/showthread.php?t=9379 070430_155621_ie_end_expl_4635d965803a4.zip > _______________________________________________ Suspected mailing list [email protected] http://mail.virusinfo.info/mailman/listinfo/suspected_virusinfo.info Quick Reply
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ни чего интересного. Я им отправлял патченый IE, у которого была нарушена таблица импорта (это мне позже Олег сказал), так вот они тоже ни чего не нашли, хоть он был патчен
1. Скачал и запустил Regmon, следом запустил HijackThis чтобы пофиксить зоны. Просканил, выделил строчки с bestforall, нажал FIX, в Regmon появились записи, что HijackThis пытается обратиться к несуществующим ключам HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\wz.cz . Запустил regedit, и увидел только одну строчку ..\ZoneMap\Domains\bestforall с параметром '*'. Удалил ее вручную. После этого домены в зоне доверенных узлов не появляются. Хотя до этого как я их только не удалял, они все равно появлялись. Видимо это последствия запуска Regmon.
Поисковые так и не запускаются. Причем обнаружил такую вещь: ya.ru - открывается, а yandex.ru - нет. Ходил на наш республиканский сайт ya1.ru, там открывается все, что есть, но forum.ya1.ru - нет. drweb.ru открывается, а forum.drweb.ru - нет.
2. На счет опыта с AVZGuard - проделал все, как сказали, результат такой - запускается IE, ввожу yandex.ru, вылетает окошко "Автономная работа", хотя я подключен к инету. Жму "Подключиться" - как результат, страничка "Не удается отобразить страницу" с тем же заголовком "Синтаксическая ошибка".
3. Логи других опытов в аттаче.
4. Через некоторое время система вылетела в синий экран при попытке выгрузить драйвер ujmymjk3.sys . На винчестере такого файла потом не оказалось, но появился UZMYMJK3.sys, по этому поводу можно не дергаться? это драйвера AVZ?
Последний раз редактировалось Alex_Tesla; 01.05.2007 в 04:30.
Можете еще показать сохраненный протокол из AVZ - Сервис - Менеджер расширений IE?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Вот пожалуйста, протокол в аттаче.
Прошел по системе Spybot - Search & Destroy - никаких результатов.
Последний раз редактировалось Alex_Tesla; 01.05.2007 в 09:32.
В протоколах все чисто. UZMYMJK3.sys - это драйвер AVZ ...
У меня еще идея есть - нужно проверит "Избранное" у IE, все имеющиеся там папки и ссылки в них. Попадался мне троян, который создавал там записи - он делал следующее: создавал в избранном запись с именем скажем www.yandex.ru. Когда я ввожу URL, IE просматривает избранное и ищет, нет ли совпадений по имени. Если есть - то открывает эту ссылку, а не введенный URL ! Может быть, и тут похожая ситуация ?
Изолировал все "Избранное", к сожалению безрезультатно.
Позвонила знакомая, у нее такая же беда. У нее все тоже самое было в IE и в Opera. Ситуацию с Оперой она решила простой переустановкой свежей Оперы. Что у нее с IE не знаю, завтра расскажет. Нас в городе таких набралось уже 7 человек (это только те, кого я знаю).
Последний раз редактировалось Alex_Tesla; 01.05.2007 в 09:49.
А у Вас нет предположений после чего начались такие аномалии? Может заходили на подозрительный сайт, запускали странный файл?
У меня эта ерунда началась после того, как жена посидела в инете. Но она клянется что почтой пользовалась только браузерной, ничего не скачивала. По аське ей никто линков не кидал, я проверил. Что пародоксально, но из тех случаев, что я разузнал, во всех в момент заражения (буду так говорить) за компьютером находилась женщина.
Если будет полезно, то перед этой напастью я удалил с компа зловреда spoolsvv.exe. Знакомый, у которого эта беда на работе, тоже сказал, что удалил у себя такого же перед тем как все началось. Про остальных не знаю, к сожалению. Возможно просто совпадение.
Может быть это проблема Вашего регионального узла связи?
Можно предположить, что это остаточные явления после зловредов. Есть у меня ещё один вариант... Проверить на руткиты. Маловероятно, но может что-то хитрое попалось. У Вас есть возможность подключить Ваш жесткий диск к другому компьютеру? Или может у Вас есть Acronis True Image?
Уважаемый(ая) Alex_Tesla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
