-
Junior Member
- Вес репутации
- 48
Неизвестная проблема, после заражения
Проблема в следующем: компьютер был заражен руткитом tdss(сидел в системной памяти), касперский его вылечить не смог. помог cureit. После чего перестала работать авторизация на сайте вконтакте, не скачивается AVP tool, не обновляется каспер и т.д.... Смотрел файл HOSTS, с ним все впорядке, путь к нему в реестре тоже верный. никаких подозрительных объектов в процессах и службах НЕТ. было замеченно каспером скрытая активность какойто проги, в папке темп. но перейдя туда - оказалось там пусто. прога имела название 375208_XP.exe. Делал полную проверку со всех LIVE CD ничего нет. И ЧТО САМОЕ СТРАННОЕ, этот комп раздает интернет по wi-fi на ноут, на котором та же проблема. НО если ноут подключить по кабелю к интернету то все ОК. ЧТО ДЕЛАТЬ!!!
Последний раз редактировалось Макс228; 12.05.2011 в 08:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Макс228
ЧТО ДЕЛАТЬ!!!
Ну как что?! Конечно же, логи по правилам!
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Логи выложенны )
-
Заразы в логах не видно.
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
Запустите окно командной строки (cmd.exe) и наберите команду:
route -f
Проверьте, что изменится.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Спасибо за помошь, хотя проблема решилась прогой MBAM, были испорчены параметры TCP.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (
http://webalta.ru) Good: (
http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (
http://webalta.ru) Good: (
http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (
http://webalta.ru) Good: (
http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{0DA625FF-A7DF-4B3B-9002-05AB9A23806E}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{69D36724-2DB2-4DA6-95C6-C43610C7FCE1}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{C1C8C744-FD1A-4115-8097-E2D52916D740}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
-
Сообщение от
Макс228
были испорчены параметры TCP
Это были "троянские" DNS.
I am not young enough to know everything...
-