Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

DNS поразит.

1 2 След.
RSS
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 07.02.2014 12:54:06
Пришёл в одно из своих филиалов, на 4х машинах один и тот же вирус, по своей диагностике проблема 100% в ДНСе, погуглел, дела действительно в нём. Банеры во всех браузерах. Лог скидываю с одной из машин. Необходимо почистить все четыре машины, думаю скрипт на все машины подойдет.
Santi, покажи как ты умеешь!!! )))

Извиняюсь
Изменено: Владимир Шариков - 07.02.2014 13:53:44
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.02.2014 13:15:44
DNS у вас скорее всего подменен на роутере.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.81.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919A1FCA239AEFB18C8BEFFBDA31B0A7C8FA94BB3FC78AFD503EFBA0DDE8406C3E2091C2E83A90D00716A17F932117F16EDAC420A6B41E0B8847229B 9 Win32/DealPly.F

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.QVO6.COM/?UTM_SOURCE=B&UTM_MEDIUM=COR&FROM=COR&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUJU2276622766&TS=1376555934

regt 2
regt 3
deltmp
delnfr
;-------------------------------------------------------------

regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 07.02.2014 14:07:39
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 07.02.2014 15:45:52
Пытался залезть на Роутер, его старый админ устанавливал. Видимо может прошивку корявую скачал. Либо сма от злости поставил такой ДНС. А если статику на ПК поставить будет вирус залетать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.02.2014 18:55:56
а доступа нет к настройкам роутера? если запаролен, то может сбросить настройки и заново перенастроить DNS?

Цитата
А если статику на ПК поставить будет вирус залетать?

проверьте.
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 07.02.2014 22:16:15
В общем резюмирую. Выяснил у старого админа логин и пароль, был по умолчанию admin-damin!!! Как выяснил логин и пароль сразу все стало на свои места, ваши предположения подтвердились. Буду сбрасывать, перенастраивать. На вэб морду попасть не могу, видимо как то заблочил нехороший человек его.
Вопрос, это вирус или просто так ДНСы работают? Собсвенно когда перенастрою роутер будет на пк все равно банеры в эксплорерах вылетать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.02.2014 22:20:48
вирус мог изменить настройки DNS и установить свой пароль, поскольку парольная пара стандартная. придется сбрасывать аппаратно настройки и заново настраивать роутер для выхода в сеть. + установить пароль посложнее чем admin

а там видно будет... думаю банеров не будет, если только не протроянены сами компы, как первый комп судя по образу.
Изменено: santy - 07.02.2014 22:21:20
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 07.02.2014 22:32:48
Естественно пароль сменю с нестандартного. значит все придется от троянов удалять. Тогда перепоширка в понедельник, и сюда сброшу еще 3 образа машин, что б проглядели на всякий случай. Вдрег верхний скрипт не поможет другим машинам.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 07.02.2014 22:43:29
конечно, скрипт в данном случае индивидуален... вполне возможно, что другие машины будут чисты
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 10.02.2014 14:34:45
Как обещал. Скрипты наверное по название фаилов пишите, мне кажеться так вам и мне удобнее. Но смотрите сами.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.02.2014 16:13:32
Владимир, давайте сделаем так.
я вижу здесь есть образ первоначальной машины. по ней будем работать в этой теме.
Цитата
ENGINEER2_2014-02-10_13-28-50.7z (663.35 КБ)
по остальным образам чтобы не было путаницы, по каждой отдельной машине создайте отдельную тему в этом разделе.
Изменено: santy - 10.02.2014 16:14:40
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему