подозрение на DNSHijacker подменяющий вводимые dns на 85.255.114.43 и 85.255.112.165 [not-a-virus:AdWare.Win32.FearAds.q, Worm.Win32.AutoRun.xkt ]

**bazkin** · 13.01.2009, 15:11

Доброго времени суток!

Второй день бьюсь над проблемой: в сети из 2,5 серверов, на одном(ос - XP, но используется в роли web -сервера) слетели днсы

, полез посмотреть в чем дело и обнаружил бяку

: чтобы я не вводил в dns`ах при инициализации физического подключения все время в качестве основного dns вылезает 85.255.114.43 и 85.255.112.165

. Если сетевое подключение выключено, настройки сохроняются вплоть до момента его включения.

При более близком рассмотрении и использованием программки SpyNoMore нашел в папке \resycler\boot.com

, который программа определила как Zlob DNS Hijacker. удалил его, нашел и удилил в реестре все занчения вида "85.255.114.43;85.255.112.16" не помогло.

Прошу помощи, логи kvz и hijackthis прилагаю

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 13.01.2009, 15:14

Восстановление не отключено, базы не обновлены, переделать логи с установленным AVZPM...

**bazkin** · 13.01.2009, 16:06

Учел замечания, вот логи

**light59** · 13.01.2009, 16:19

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\msqpdxrfdckfvm.sys','');
 QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
 QuarantineFile('C:\PROGRA~1\FieryAds\CommLayer.dll','');
 DeleteFile('C:\PROGRA~1\FieryAds\CommLayer.dll');
 DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\msqpdxrfdckfvm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=37287
Повторите логи по правилам.

**bazkin** · 13.01.2009, 17:01

Благодарствую, dns`ы выправились

**light59** · 14.01.2009, 08:12

В AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\huadio.tmp');
BC_ImportDeletedList;
 bc_DeleteSvc('autorun');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В остальном чисто. жалобы есть?

**CyberHelper** · 22.02.2009, 09:57

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\\autorun.inf - Worm.Win32.AutoRun.xkt
2. c:\\progra~1\\fieryads\\commlayer.dll - not-a-virus:AdWare.Win32.FearAds.q (DrWEB: Adware.FieryAds.4)
3. c:\\progra~1\\fieryads\\fieryads.dll - Trojan.Win32.Agent.augj (DrWEB: Adware.FieryAds.7)
4. c:\\windows\\system32\\drivers\\msqpdxrfdckfvm.sys - Rootkit.Win32.TDSS.dpw (DrWEB: Trojan.DnsChange.15)

подозрение на DNSHijacker подменяющий вводимые dns на 85.255.114.43 и 85.255.112.165 [not-a-virus:AdWare.Win32.FearAds.q, Worm.Win32.AutoRun.xkt ] (заявка № 37287)

Опции темы

подозрение на DNSHijacker подменяющий вводимые dns на 85.255.114.43 и 85.255.112.165 [not-a-virus:AdWare.Win32.FearAds.q, Worm.Win32.AutoRun.xkt ]

Итог лечения

Похожие темы

подозрение на C:\Program Files\DivX\DivX Converter\dpil100.dll >>> подозрение на AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)

Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis

Ваши права в разделе