Показано с 1 по 17 из 17.

не возможно изменить ДНСсервера, явно живет что то (заявка № 38388)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33

    Thumbs up не возможно изменить ДНСсервера, явно живет что то

    отловить не получается....
    1. ругается радмин на повреждение самого себя
    2. ругается AVZ на не соответствие контрольной суммы
    3. не открывается ряд ресурсов связаных с антивирусами ...
    3.1 не могу скачать AVPtools последний
    3.2 не обновляется каспер (kaspersky.ru - доступен)
    3.3 не обновляется AVG (avg.com доступен)
    .... короче недоступны какие куски...
    4. ДНС : 85.255.116.119;85.255.112.220
    4.1 при замене через сетевое остаются прежними
    4.2 при замене в реестре остаются прежними
    5. в папке System32 куча файлов вида 00636418586lp.exe

    AhnLab-V3 5.0.0.2 2009.01.27 Win-Trojan/Agent.25088.CL
    Authentium 5.1.0.4 2009.01.27 W32/Proxy.BVA
    Avast 4.8.1281.0 2009.01.27 Win32:Trojan-gen {Other}
    AVG 8.0.0.229 2009.01.27 Proxy.NZL
    eSafe 7.0.17.0 2009.01.27 Suspicious File
    F-Prot 4.4.4.56 2009.01.27 W32/Proxy.BVA
    GData 19 2009.01.27 Win32:Trojan-gen {Other}
    K7AntiVirus 7.10.607 2009.01.27 Trojan-Proxy.Win32.Agent.lp
    Symantec 10 2009.01.27 Trojan Horse
    ViRobot 2009.1.23.1577 2009.01.26 Trojan.Win32.Proxy.25088.H

    PS: полностью все по правилам выполнить нет физической возможность, поэтому :
    полной проверки в безопасном режиме не проводилось
    проводилась в нормальном устарешей авптул на 2недели, кьюретом свежим
    и при проверке от интернета небыло возможности отключить по причине удаленной работы на компе

    вроде все...
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Очевидно, у вас файловый вирус.
    Методика лечения тут: http://virusinfo.info/showthread.php?t=15927. (Рекомендуется способ #1. Запись на CD и безопасный режим - обязательно, иначе ничего не выйдет).

    После этого скачайте заново AVZ и HijackThis, обновите базы AVZ и сделайте еще раз логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    думаю что это очевидно не поможет, явно надо подозрительное на анализ, virustotal.com очевидно на один из хвостов вируса выдал то что написано в сообщении выше, те ни касперский ни дрвеб ни нод32 ничего подозрительного не нашли....

    еще раз повторю к машине нет полного физического доступа... в защищенный режим ее сложно ввести...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    virustotal.com очевидно на один из хвостов вируса выдал то что написано в сообщении выше, те ни касперский ни дрвеб ни нод32 ничего подозрительного не нашли....
    Троян женерик мы вам и без антивирусов найдем, надо сначала файловый убить.

    еще раз повторю к машине нет полного физического доступа... в защищенный режим ее сложно ввести...
    В данном случае без этого вам сам Господь Бог не поможет.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    вообщем вчера выкинул 1 из файлов (753475lp.exe) из system32 вебу на анализ

    и на ночь притащил комп домой...
    проверил его liveCD dr web, потом разархивированом и записаном на диск на чистой машине cureit-ом... ровным счетом ничего не нашли даже подозрений нет

    после сделаны логи согласно правилам
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    AVZPM установите и сделайте новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    включил...

    ловите...
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\systemroot\system32\drivers\msqpdxmqltoiqh.sys','');
     DeleteFile('\systemroot\system32\drivers\msqpdxmqltoiqh.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксить

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1CBFB5CC-D82A-46E6-AC75-0ED74D941902}: NameServer = 85.255.116.119;85.255.112.220
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
    Пришлите карантин по правилам и повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    вообщем почти по правилам сделано, на компьютере уже много работы поэтому пришлось делать как есть... или будет опять задержка в логах... как минимум до вечера
    Последний раз редактировалось virussnu; 15.06.2009 в 04:56.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    В логах чисто, установите SP3+all updates...

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Еще хорошо бы сделать полную проверку а/вирусом или Куреитом для зачистки остатков.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    прошу объяснить смысл запускать кьюрит, если лив сиди веба ровным счетом ничего не нашел... вы наверное не внимательно читали посты выше

    кстати что с набором мусора в систем32 ? мне совсем не понятно почему их не видит кьюрит и авптул...

    вообщем все фигня вы на 100% уверены что лиги полностью чистые на данный момент ... если да будем систем 32 ручками зачищать... и радмина переставлять ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Я все читал, но не понял: проверка куреитом была экспресс, как по умолчанию, или полной?
    Можно провести зачистку альтер. утилитами типа Combofix, у нас на сайте они не приветствуются, т.к. иногда удаляют лишнее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    все проверки которые проводились были полными...

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Да в логах чисто, если в system32 остался мусор мы не виноваты, драйвер грохнут без него dll' ки не работают, их можно удалять руками, поэтому они и в лог не попадают, неактивны...

  17. #16
    Junior Member Репутация
    Регистрация
    27.01.2009
    Адрес
    Зеленоград
    Сообщений
    24
    Вес репутации
    33
    Большое всем спасибо! Глюков и подозрительного на компе не обнаружено... премного благодарен...

    ЗЫ: вынес некоторый полезный опыт в исследовании системы и поиске глюков

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\msqpdxmqltoiqh.sys - Rootkit.Win32.TDSS.eyj


  • Уважаемый(ая) virussnu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 22
      Последнее сообщение: 14.08.2011, 10:02
    2. Ответов: 23
      Последнее сообщение: 03.12.2010, 22:28
    3. явно вирусы
      От qwertyqwerty11 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 28.07.2010, 15:55
    4. Виснет Эксплорер, явно что-то тут не так...
      От cedecede в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.11.2008, 22:11
    5. явно сидит зловред
      От cavetroll в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.06.2008, 10:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01381 seconds with 16 queries