Помогите! Подмена DNS
На всех сетевых картах идет автоподмена DNS серверов, на компе установлен KAV для рабочих станций 6.0, который при запуске IE выдает сообщение о заражении файла в system32\msqpdxwqsctmei.dll, при проверке cureit с компьютера было удалено каких то 4 файла.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('L:\autorun.inf',''); QuarantineFile('\systemroot\system32\drivers\msqpdxnbcbcrrx.sys',''); DeleteFile('\systemroot\system32\drivers\msqpdxnbcbcrrx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по http://virusinfo.info/upload_virus.php?tid=39955
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил скрипт. DNS поменял. Отправляю логи. Правда при перезагрузке KAV продолжает кричать о зараженной DLL. Архив с карантином тоже отправил.
ДНСы вредные еще остались в других подключениях.
L:\autorun.inf - эту пустышку можно руками удалить.
KAV продолжает кричать о зараженной DLL - удалить при помощи а/вируса.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все поменял, касперский удалил файл. Огромное человеческое СПАСИБО за помощь!
Лог Хиджака повтори.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал
85.255.113.125;85.255.112.92 - Ваши ДНС?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Если нет, то пофиксить
Лог HJT повторите...Код:O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125;85.255.112.92
Мой DNS .254, записи пофиксил. На эти DNSки (85.255.113.125;85.255.112.92) шла подмена
Пофиксить
Теперь чисто...Код:O13 - Gopher Prefix:
Благодарствую за помощь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\msqpdxnbcbcrrx.sys - Rootkit.Win32.TDSS.plh
Уважаемый(ая) RudnevAlex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
