Показано с 1 по 6 из 6.

Неизвестная проблема, после заражения (заявка № 102067)

  1. #1
    Junior Member Репутация
    Регистрация
    11.05.2011
    Сообщений
    5
    Вес репутации
    48

    Thumbs up Неизвестная проблема, после заражения

    Проблема в следующем: компьютер был заражен руткитом tdss(сидел в системной памяти), касперский его вылечить не смог. помог cureit. После чего перестала работать авторизация на сайте вконтакте, не скачивается AVP tool, не обновляется каспер и т.д.... Смотрел файл HOSTS, с ним все впорядке, путь к нему в реестре тоже верный. никаких подозрительных объектов в процессах и службах НЕТ. было замеченно каспером скрытая активность какойто проги, в папке темп. но перейдя туда - оказалось там пусто. прога имела название 375208_XP.exe. Делал полную проверку со всех LIVE CD ничего нет. И ЧТО САМОЕ СТРАННОЕ, этот комп раздает интернет по wi-fi на ноут, на котором та же проблема. НО если ноут подключить по кабелю к интернету то все ОК. ЧТО ДЕЛАТЬ!!!
    Последний раз редактировалось Макс228; 12.05.2011 в 08:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Макс228 Посмотреть сообщение
    ЧТО ДЕЛАТЬ!!!
    Ну как что?! Конечно же, логи по правилам!
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    11.05.2011
    Сообщений
    5
    Вес репутации
    48
    Логи выложенны )

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Заразы в логах не видно.

    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    Запустите окно командной строки (cmd.exe) и наберите команду:
    route -f
    Проверьте, что изменится.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    11.05.2011
    Сообщений
    5
    Вес репутации
    48
    Спасибо за помошь, хотя проблема решилась прогой MBAM, были испорчены параметры TCP.

    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{0DA625FF-A7DF-4B3B-9002-05AB9A23806E}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{69D36724-2DB2-4DA6-95C6-C43610C7FCE1}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{C1C8C744-FD1A-4115-8097-E2D52916D740}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Макс228 Посмотреть сообщение
    были испорчены параметры TCP
    Это были "троянские" DNS.
    I am not young enough to know everything...

  • Уважаемый(ая) Макс228, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 29.12.2009, 00:15
    2. неизвестная проблема
      От BIG_TIER в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2009, 20:12
    3. Неизвестная проблема
      От Basket23 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 02:36
    4. Неизвестная мне проблема
      От timka91 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 17.02.2006, 20:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00238 seconds with 17 queries