Показано с 1 по 16 из 16.

Подозрение на троянский DNS тащит autoruner.5555 на комп (заявка № 40419)

  1. #1
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33

    Question Подозрение на троянский DNS тащит autoruner.5555 на комп

    Не могу никак найти сам файл вируса никто его не видит. на машине стоит нортон но не может обновится из-за этого троянского днс проверял cure it свежим он находит автораннер 5555 прибивает его но после соединения с интернетом он чудесным образом воскресает из мертвых. в инете работает только яндекс(стоит стартовой) все остальное- не может отобразить страницу.соединение с сетью впн. жду помощи. заранее спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=userinit.exe,
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0880C147-72EB-4477-A05A-2139143A517F}: NameServer = 85.255.115.157 85.255.112.14
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0880C147-72EB-4477-A05A-2139143A517F}: NameServer = 85.255.115.157 85.255.112.14
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=40419).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    все выполнилю карантин выслал не помогло авторанер на месте интернет не доступен. еще какие либо варианты??
    PS спасибо за оперативность

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Нужно установить SP3+all updates...

  6. #5
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    а по конкретнее можно ?? что именно в алл упдатес(конкретные номера обновлений)?? интернет у меня не дешевый. СП3 пробовал, начинаются вообще повальные проблемы с сетью - ввиду ее отсутствия даже на физическом уровне.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Файлы в карантине чистые. В логах больше ничего подозрительного.

    Цитата Сообщение от d1m4@ Посмотреть сообщение
    после соединения с интернетом он чудесным образом воскресает из мертвых.
    Т.е. живет где-то в сети вашего провайдера и пролазит к вам через одну из многочисленных дыр в системе. Дабы эти дыры позакрывать, необходимо установить SP3 и последующие обновления. Не отдельные, а все, т.к. сегодня один таракан лезет, завтра другой...
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    рядом стоит 2 десятка компов(в той же сети что и этот) winxp pro sp2 на них таких проблем нет. авторанер есть но прибивается.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В свойствах VPN подключения впишите адреса DNS вашего провайдера.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    [QUOTE=Bratez;362046]Файлы в карантине чистые. В логах больше ничего подозрительного.
    отправил на вирустотал сказал в одном какойто ZLOBrelated 2 антивира нашли. я уже машину и каспером свежим его проверил нет ничего. но после соединения с инетом. опять появляется автораннер. кто его закачивает?? я и сам не вижу ничего подозрительного. а днс он кстати на свои меняет. каким образом не пойму иногда какие то левые прокси вписывает в эксплорер.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В AVZ установите драйвер расширенного мониторинга (AVZPM), перезагрузите компьютер и сделайте новые логи.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    в процессе установки сервис пака 3 . компутер и так небыстрый был. зато в локальной сети нашлось пара мест откуда он мог восстанавливаться. тоже пробую принимать меры. показал это свежий кис 2009 до этого 7 стоял ниче не видел. по сети ломятся win.netapi.buffer-overflow.exploit.пытаюсь их устранить пока безрезультатно

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    К вам Kido долбится...

  14. #13
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    поставил сп3 + KB958644 + kb890830-v2.7(нашел конфикера) avzpm шлю новые логи. вроде ничего подозрительного пока незаметно. kido вроде прибил на другой машине
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0880C147-72EB-4477-A05A-2139143A517F}: NameServer = 85.255.115.157 85.255.112.14
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0880C147-72EB-4477-A05A-2139143A517F}: NameServer = 85.255.115.157 85.255.112.14
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0880C147-72EB-4477-A05A-2139143A517F}: NameServer = 85.255.115.157 85.255.112.14
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('SPBBCSvcEventlog');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После этого выполните в AVZ "стандартный скрипт #6".

    Больше ничего подозрительного нет.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    8
    Вес репутации
    33
    праздник вроде закончились все пофиксил но троянский днс все равно появляются.логи прилепляю
    Вложения Вложения

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) d1m4@, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Все тот же Win32.HLLW.Autoruner.5555
      От RomanoFF в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.11.2011, 15:29
    2. Прошу помочь с autoruner.5555
      От KRIK_Серёжа в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.10.2009, 16:28
    3. win32.hllw.autoruner.5555
      От MaximFran в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.03.2009, 13:44
    4. Win32.HLLW.Autoruner.5555
      От Angell в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:58
    5. Win32.HLLW.Autoruner.5555
      От Д.М. в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 02.02.2009, 00:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00239 seconds with 17 queries