На компе поднимается DHCP сервер и выдаёт всем левые IPшники

[Svast]

Всем доброго времени суток
Помогите пожалуйста разобраться что еще осталось в системе гадкого... Как комп включаешь в сетку, он подменяет собой DHCP сервер и начинает раздавать всем компам в локальной сети свои ip адреса и dns'ы...
Комп сканил касперским нашел кучу вирья - удалил, но проблема всё равно осталось, вот лог:

[Rene-gad]

Читайте в правилах, какие логи нужны и как их обнародовать.

[Svast]

Вот:

[PavelA]

Это Ваше? Если нет, то профиксить:

Код:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.118,85.255.112.143
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.118,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.118,85.255.112.143

[Svast]

Не наше ) Наше только VNC из подозрительных программ...
Пофиксил, но DHCP на этом компе не пропало:
Значит кину то что выдается DHCPой с этого компа:
DHCPOFFER from server: 10.25.1.241 (ip этого зараженного компа)
yaiddr: 10.25.1.254 (это реальный наш шлюз)
option 53: DHCPOFFER
option 54: 10.25.1.254
option 51: 60mns
option 1: 255.255.255.0
option 3: 10.25.1.254
option 6: 69.42.88.21:69.42.88.22 (как я понимаю DNSы, в реальности они должны исходить другие)
option 244
option 153

Это лог программы iptools.. Такое впечатление, что этот зараженный компьютер пытается подменить собой реальный DHCP сервер... Все параметры такие какие должны быть кроме dns адрессов

[PavelA]

Давайте сделаем так: установите в AVZ AVZPM, обновите базы AVZ и повторите логи.

[Svast]

Сделал:

[PavelA]

Нашелся!!!
Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\gaopdxtnksefybwuxtowfvpehefbesdoymltfm.sys','');
 DeleteFile('\systemroot\system32\drivers\gaopdxtnksefybwuxtowfvpehefbesdoymltfm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи.
Если попадет в карантин, то прислать.

Добавлено через 1 минуту

Если вдруг откажется удаляться, то надо будет его удалить Gmerom.

[Svast]

PavelA, спасибо!
Всё проблема исчезла ))) Больше IPшки не раздает
Примечательно, что с касперского лайв сиди с сегодняшними базами он нашел такой вот файлик:
10.04.2009 15:44:09 Обнаружено: Trojan-Spy.Win32.Agent.akwj C:\WINDOWS\system32\gaopdxkypixngsipbqkrxjkvstiror ublfvhff.dll
10.04.2009 15:44:10 Удалено: Trojan-Spy.Win32.Agent.akwj C:\WINDOWS\system32\gaopdxkypixngsipbqkrxjkvstiror ublfvhff.dll

Но тут еще и sys файл оказался, который касперский просмотрел

Еще интересно, что после избавление от sys файла при загрузки компьютера касперский предложил установится, ранее вирь блокировал установку походу...
Вобщем вот логи после избавления:

[light59]

Скачайте IceSword
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл

Код:

C:\WINDOWS\system32\gaopdxkypixngsipbqkrxjkvstirorublfvhff.dll

-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".

в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gaopdxkypixngsipbqkrxjkvstirorublfvhff.dll','');
DeleteFile('C:\WINDOWS\system32\gaopdxkypixngsipbqkrxjkvstirorublfvhff.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторите.