http://forum.esetnod32.ru Новое в теме Автоматическая подмена DNS через запуск задач в планировщике Windows форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 17:37:59 +0300 Автоматическая подмена DNS через запуск задач в планировщике Windows в форуме Полезная информация.
Новая проблема в массовом порядке присутствует в темах на форумах безопасности - автоматическая подмена DNS. Разовое исправление настроек DNS в сетевых подключениях не решает проблему, точнее решает, но лишь на некоторое время. Такие вот сигналы SOS в киберпространстве сейчас актуальны.

"Каждый раз происходит подмена DNS на 37.10.116.201,8.8.8.8.Систему проверил CureIt, нашел Java/Eploit.Agent.NMD. Получается, что я ставлю автоматически получать адрес DNS, через некоторое время прописываться в ручную на 37.10.116.201,8.8.8.8."

"Добрый день! В последнее время стали подменяться DNS сервера выданные DHCP сервером, т.е. сервер выдает одно, а на компьютере DNS сервера заменяются на другие."

"Каждый день, в 14 часов происходит подмена DNS на 27.10.116.201. Систему проверял CureIT и Kaspersky Virus Removal Tool, угроз не обнаружено. Сканировал систему HijackThis, фиксил строчки с данным DNS, эффект ровно такой же, как бы я в ручную поставил автоматическое присвоение DNS, хватает ровно на сутки."

решение

получаем образ автозапуска в uVS и тщательно изучаем раздел задач планировщика. Для автоматизации можно создать критерий поиска, содержащий подстроку
"37.10.116.201,8.8.8.8" или "DNS"

в итоге, в образе автозапуска найдется следующая запись.


====quote====
Полное имя C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла WMIC.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Удовлетворяет критериям
SETDNSSERVER (ЗНАЧЕНИЕ ~ SETDNSSERVER)(1)

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id 4A5BC7A78D000
Linker 9.0
Размер 566272 байт
Создан 14.07.2009 в 03:47:53
Изменен 14.07.2009 в 05:39:55
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя wmic.exe.mui
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание WMI Commandline Utility
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 071A645A88E4236281E58B90A5D50A2AC80E26E5
MD5 FD902835DEAEF4091799287736F3A028

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT2.JOB
Значение "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.  8)  

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2
=============

Теперь вы точно знаете, что делать с файлами C:\WINDOWS\TASKS\AT2.JOB, C:\WINDOWS\SYSTEM32\TASKS\AT2

Критерий поиска можно уточнить до ЗНАЧЕНИЕ ~ SETDNSSERVER

©, chklst.ru
24.12.2013 14:04:06, santy.]]> http://forum.esetnod32.ru/messages/forum9/topic10416/message74623/ http://forum.esetnod32.ru/messages/forum9/topic10416/message74623/ Tue, 24 Dec 2013 14:04:06 +0400 Полезная информация