Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Не пускают на eset.com и др антивирусные сайты , Не пускают на eset.com и др антивирусные сайты

1
RSS
 
crashzzz
crashzzz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 01.10.2011
Размещено 01.10.2011 08:42:09
"Произошла ошибка при загрузке файлов обновлений"
При попытке зайти на сайт www.eset.com попадаю на yandex.kz
Антивирусные сайты kaspersky.ru, drweb.ru, z-oleg.com перенаправляются на yandex.kz

ping eset.com
Обмен пакетами с ya.ru [87.250.250.3] по 32 байт:
Ответ от 87.250.250.3: число байт=32 время=155мс TTL=52
Ответ от 87.250.250.3: число байт=32 время=156мс TTL=52

Файл Hosts проверил чист. Путь к нему в реестре правильный, скрытых файлов нет.

Маршруты статические проверял, есть только те которые я сам прописывал для работы.

 10.245.0.0      255.255.0.0     192.168.15.1       1
192.168.0.0      255.255.0.0     192.168.15.1       1
10.240.13.0    255.255.255.0     192.168.15.1       1
 10.190.1.0    255.255.255.0      10.191.30.1       1
 10.190.0.0      255.255.0.0      10.191.30.1       1
192.168.1.0    255.255.255.0      192.168.1.1       1
   10.8.3.0    255.255.255.0      10.191.30.1       1
10.191.82.0    255.255.255.0      10.191.30.1       1
 10.192.0.0      255.255.0.0      10.191.30.1       1

Есть подозрительный файл ilkukmd.exe находится в C:\WINDOWS\AppPatch , удалял его,
он снова через пару секунд прописывается с тем же именем.


Лог прикреплен ниже.
 
crashzzz
crashzzz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 01.10.2011
Размещено 01.10.2011 08:43:44
Тот же лог в архиве
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 01.10.2011 10:45:32
1. выполните в uVS приложенный скрипт (меню- скрипт - выполнить скрипт из файла);

после перезагрузки,
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
  например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected], [email protected];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

далее,
4. добавить на форум новый образ автозапуска uVS.

5. пишем кратко о состоянии системы после выполнения действий.
[ Как создать образ автозапуска? ]
 
crashzzz
crashzzz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 01.10.2011
Размещено 03.10.2011 08:24:00
1. Скрипт выполнен.

2. Пробуем зайти на www.eset.com попадем на yandex.kz, обновить антивирус не получается.

3. Архив с подозрительным файлом Вам на почту отправил, с указанным паролем infected.

4. Файл нового образа прикреплен ниже.

5. Первое что проверил подозрительный файл ilkukmd.exe  - находится в C:\WINDOWS\AppPatch по прежнему на месте с тем же именем.
  Скрипт удалил все постоянные маршруты, это не проблема, пропишу снова.
  Интересную информацию выдает KidoKiller, как я понял идет полная подмена DNS сайтов, но где? лог прилагаю ниже, может поможет разобраться, файл dnsapi.dll заменял на новый скачанный, результат тот же.
  Проверил DNS программой Hosts Virus Detector, результат - подмена DNS, лог приложен.

  Прошу помощи, заранее благодарен.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.10.2011 09:01:00
ок,
выполните в uVS скрипт из буфера обмена

Код
;uVS v3.71 script [http://dsrt.dyndns.org]

sreg
delref %SystemRoot%\APPPATCH\ILKUKMD.EXE
areg


будет автоматическая перезагрузка,
после перезагрузки добавьте новый образ автозапуска в uVS
--------
сорри, да, не обратил внимание в вашем сообщении по статическим маршрутам.
Изменено: santy - 03.10.2011 09:02:17
[ Как создать образ автозапуска? ]
 
crashzzz
crashzzz
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 01.10.2011
Размещено 03.10.2011 12:02:21
ping eset.com

Обмен пакетами с eset.com [72.3.254.86] по 32 байт:

Ответ от 72.3.254.86: число байт=32 время=335мс TTL=114
Ответ от 72.3.254.86: число байт=32 время=327мс TTL=114
Ответ от 72.3.254.86: число байт=32 время=327мс TTL=114
Ответ от 72.3.254.86: число байт=32 время=327мс TTL=114

Фух, все заработало, сайты открываются!

Как я понял все дело было именно в файле ILKUKMD.EXE, Вы удалили ссылку на файл из реестра, так?
Файл не удалился, но теперь не имеет связи с запуском. Не понятно каким образом он подменял DNS?

Я ВАМ ОЧЕНЬ БЛАГОДАРЕН! СПАСИБО ЗА ПОМОШЬ!

Лог ниже.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.10.2011 12:04:55
да, я исключил его из автозапуска, видимо самозащита не позволяла удалить его в активном режиме.
образ новый сейчас посмотрю
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.10.2011 12:10:29
выполните в uVS скрипт из буфера обмена.
перед выполнением скипта закрыть браузеры

Код
;uVS v3.71 script [http://dsrt.dyndns.org]

ZOO %SystemRoot%\APPPATCH\ILKUKMD.EXE 
delall %SystemRoot%\APPPATCH\ILKUKMD.EXE 
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
czoo
restart

--
после перезагрузки:
1. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
  например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected], [email protected];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
2. сделайте дополнительно лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 03.10.2011 12:13:01
по DNS,
возможно переадресация была на динамический_поддельный DNS-сервер.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.10.2011 14:14:04
C:\WINDOWS\ABJDA\PKMAILER.EXE
Полной уверенности нет но могли увести цифровую подпись.
Стоит проверить файл на Virus Total.
http://www.virustotal.com/index.html
 
1
Читают тему