-
Junior Member
- Вес репутации
- 50
Подмена адреса vkontakte.ru, odnoklassniki.ru, mail и.т.п.
Всем доброго времени суток.
На машине WinXP SP3 был запущен некий файл "I LOVE YOU.exe" предположительно после чего доступ на популярные российские соцсети был закрыт.
Вымогатели просят отправить смс на короткий номер.
Удалось выяснить что в системе происходит подмена доменов vkontakte.ru и др на фейковый ip 85.234.190.33
Как и в подобных ранее здесь встречавшихся случаях файл hosts чистый. Путь к hosts в реестре указан верно.
Просьба помочь найти проблему.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в командной строке наберите: route print >c:\route.txt
route.txt прикрепите к теме.
- Выполните скрипт в AVZ
Код:
begin
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters', 'c:\Parameters.log');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\Dnscache', 'c:\Dnscache.log');
end.
- файлы c:\Dnscache.log и c:\Parameters.log прикрепите к сообщению
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Маршруты сохранил, скрипт AVZ выполнил. Все во вложениях ниже.
RSIT не запускает проверку - выдает ошибку "error variable used without being declared"
MBAM так же не запускается после установки - "MBAM_ERROR_EXPANDING_VARIABLES (0, 9)"
-
Junior Member
- Вес репутации
- 50
Здесь кто нить ещё чем то помочь может?
-
-
-
Junior Member
- Вес репутации
- 50
Проблема решена!
Kaspersky справился, вот лог.
"Удалено: Rootkit.Win32.Agent.biwd Kaspersky Internet Security HKLM\System\ControlSet001\Services\iorobpec\iorobp ec
Будет удалено при перезагрузке: Rootkit.Win32.Agent.biwd Kaspersky Internet Security C:\WINDOWS\system32\drivers\iorobpec.sys"
polword спасибо за участие.