Показано с 1 по 15 из 15.

подозрение коннект ДНС прова.. (заявка № 115927)

  1. #1
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24

    подозрение коннект ДНС прова..

    добрый день!
    На шлюзе летит трафик.
    Ломится на ДНС провайдера. Логи со шлюза уже присылал Вам - ничего не нашли..
    Присылаю лои подозрительного соседнего ПК.
    Кстати в логе хайджека увидел ip шлюза (192.168.1.99)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) Паша101, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Здравствуйте!!!

    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('newdriver', 4);
     StopService('newdriver');
     QuarantineFile('C:\WINDOWS\system32\sd3pRDP5.dll','');
     QuarantineFile('C:\WINDOWS\goToBed.bat','');
     QuarantineFile('C:\WINDOWS\uhtrj.sys','');
     DeleteFile('C:\WINDOWS\uhtrj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('newdriver');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Повторите логи.

    - Сделайте лог полного сканирования MBAM.

    FreeRIP Toolbar сами устанавливали?

  5. #4
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24
    выложу пока повторные логи, а то MBAM долго сканирует..его позже прикреплю.
    FreeRIP Toolbar до меня еще кто устанавливал наверное..
    карантин выслал.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Задание goToBed.job, которое выключает компьютер, в планировщике сами делали?

    Цитата Сообщение от Паша101 Посмотреть сообщение
    FreeRIP Toolbar до меня еще кто устанавливал наверное..
    Если он Вам не нужен, то удалите...

    Ждем MBAM...

  7. #6
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24
    Цитата Сообщение от Techno Посмотреть сообщение
    Задание goToBed.job, которое выключает компьютер, в планировщике сами делали?


    Если он Вам не нужен, то удалите...

    Ждем MBAM...
    Да сам делал...
    Скоро МБАМ..
    я уже не знаю че делать - вчера на шлюзе сделал быструю проверку нашел троян - удалил, хотя до этого делал Полную проверку (выкладывал на вирусинфо)- не находил...
    Последний раз редактировалось Паша101; 02.02.2012 в 15:53.

  8. #7
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24
    Лог mbam прикрепил

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Удалите в MBAM:
    Код:
    HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\vykroiki.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
    
    C:\Documents and Settings\server1\Application Data\Sun\Java\Deployment\cache\6.0\56\38f70078-3ad97564 (Trojan.Dropper) -> Действие не было предпринято.
    Это все знакомо?
    Код:
    C:\Качалка\fscommand\bonus4.exe (Malware.Packer) -> Действие не было предпринято.
    C:\Качалка\fscommand\bonus5.exe (Malware.Packer) -> Действие не было предпринято.
    Y:\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.
    Что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24
    все удалил, проблема осталась...
    Последний раз редактировалось Паша101; 03.02.2012 в 09:42.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  12. #11
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24
    Добрый день!
    прикрепляю..

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Не ответили...
    Цитата Сообщение от Techno Посмотреть сообщение
    Это все знакомо?
    Код:
    C:\Качалка\fscommand\bonus4.exe (Malware.Packer) -> Действие не было предпринято.
    C:\Качалка\fscommand\bonus5.exe (Malware.Packer) -> Действие не было предпринято.
    Y:\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.
    Добавлено через 1 минуту

    Как самочувствие после combofix'а?
    Последний раз редактировалось Techno; 03.02.2012 в 11:44. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    01.08.2011
    Сообщений
    60
    Вес репутации
    24
    Код:
    C:\Качалка\fscommand\bonus4.exe (Malware.Packer) -> Действие не было предпринято.
    C:\Качалка\fscommand\bonus5.exe (Malware.Packer) -> Действие не было предпринято.
    все удалил на всякий случай

    После combofix'а состояние норм.. К ДНС теперь поятоянно не лезет. - НО думаю это просто совпадение, т.к. вчера отключал этот ПК от сети, а коннект к днс все равно на шлюзе был..Я вообще не могу найти закономерность..
    Вот бы шлюз еще проверить на combofix - но та тема затухла и никто не помогает...

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от Паша101 Посмотреть сообщение
    все удалил на всякий случай
    а это тоже не знакомо? Y:\termsrv.dll (Trojan.Downloader) -> Действие не было предпринято.

    - Удалите ComboFix
    И обновляться Вам срочно надо и проблем сразу станет меньше

    - Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows

    Добавлено через 3 минуты

    Цитата Сообщение от Паша101 Посмотреть сообщение
    Вот бы шлюз еще проверить на combofix - но та тема затухла и никто не помогает...
    В той теме тоже ответил.
    Обновляйтесь, потом понаблюдайте и сообщите о результатах...
    Последний раз редактировалось Techno; 03.02.2012 в 12:14. Причина: Добавлено

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\uhtrj.sys - Trojan-Banker.Win32.Qhost.mro ( DrWEB: Trojan.Hosts.5006, BitDefender: Rootkit.52152, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Паша101, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не открывается прога
      От MArtar в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.05.2010, 18:02
    2. з-коннект
      От Tirfi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.08.2009, 14:42
    3. Прога FieryAds???
      От prik в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:04
    4. установилась левая прога
      От Boro71 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.11.2008, 22:25
    5. прога с функциями фаервола
      От SDA в разделе Межсетевые экраны (firewall)
      Ответов: 2
      Последнее сообщение: 26.02.2005, 04:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01120 seconds with 16 queries