Форум esetnod32.ru [тема: DNS поразит.] http://forum.esetnod32.ru Новое в теме DNS поразит. форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 08:15:28 +0300 DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
11.02.2014 18:17:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75706/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75706/ Tue, 11 Feb 2014 18:17:46 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
engineer2  Выполнил, отчет прикрепил.
KUGAENKO не выполнял, с другой темы возьму скрипт.
mbam-log-2014-02-11 (17-06-49).zip
ENGINEER2_2014-02-11_17-17-22.7z
11.02.2014 17:24:13, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75702/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75702/ Tue, 11 Feb 2014 17:24:13 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
по второму компу:

====quote====
KUGAENKO_2014-02-10_12-58-41.7z (576.53 КБ)
=============

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.81.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252774A106AC1CC0B94544EA34F1ED2208A805D02B148FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 majachok.tasks

delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.URL
delall %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
+
удалить все ярлыки браузеров на рабочем столе и в быстром запуске, и заново создать их,

------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
10.02.2014 18:59:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75662/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75662/ Mon, 10 Feb 2014 18:59:14 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
по остальным компам: с этими надо разбираться, но в отдельных темах.


====quote====
KUGAENKO_2014-02-10_12-58-41.7z (576.53 КБ)
--ПК_2014-02-07_12-24-34.7z (558.39 КБ)
=============

10.02.2014 16:43:22, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75660/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75660/ Mon, 10 Feb 2014 16:43:22 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
итак работаем здесь по engineer2

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.81.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919A1FCA239AEFB18C8BEFFBDA31B0A7C8FA94BB3FC78AFD503EFBA0DDE8406C3E2091C2E83A90D00716A17F932117F16EDAC420A6B41E0B8847229B 9 Win32/DealPly.F

delall F:\SETUP.EXE
delref HTTP://WWW.SYMANTEC.COM/REDIRECTS/SECURITY_RESPONSE/FIX_HOMEPAGE/INDEX.JSP?LG=RU&PID=NIS&PVID=19.9.1.14
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.QVO6.COM/?UTM_SOURCE=B&UTM_MEDIUM=COR&FROM=COR&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUJU2276622766&TS=1376555934

regt 2
regt 3
deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
10.02.2014 16:18:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75659/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75659/ Mon, 10 Feb 2014 16:18:25 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Владимир, давайте сделаем так.
я вижу здесь есть образ первоначальной машины. по ней будем работать в этой теме.

====quote====
ENGINEER2_2014-02-10_13-28-50.7z (663.35 КБ)
=============
по остальным образам чтобы не было путаницы, по каждой отдельной машине создайте отдельную тему в этом разделе.
10.02.2014 16:13:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75658/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75658/ Mon, 10 Feb 2014 16:13:32 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Как обещал. Скрипты наверное по название фаилов пишите, мне кажеться так вам и мне удобнее. Но смотрите сами.
--ПК_2014-02-07_12-24-34.7z
KUGAENKO_2014-02-10_12-58-41.7z
OPENSPACE3_2014-02-10_13-19-23.7z
ENGINEER2_2014-02-10_13-28-50.7z
REZERVBOOK_2014-02-10_14-04-51.7z
10.02.2014 14:34:45, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75656/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75656/ Mon, 10 Feb 2014 14:34:45 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
конечно, скрипт в данном случае индивидуален... вполне возможно, что другие машины будут чисты
07.02.2014 22:43:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75633/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75633/ Fri, 07 Feb 2014 22:43:29 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Естественно пароль сменю с нестандартного. значит все придется от троянов удалять. Тогда перепоширка в понедельник, и сюда сброшу еще 3 образа машин, что б проглядели на всякий случай. Вдрег верхний скрипт не поможет другим машинам.
07.02.2014 22:32:48, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75632/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75632/ Fri, 07 Feb 2014 22:32:48 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
вирус мог изменить настройки DNS и установить свой пароль, поскольку парольная пара стандартная. придется сбрасывать аппаратно настройки и заново настраивать роутер для выхода в сеть. + установить пароль посложнее чем admin

а там видно будет... думаю банеров не будет, если только не протроянены сами компы, как первый комп судя по образу.
07.02.2014 22:20:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75631/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75631/ Fri, 07 Feb 2014 22:20:48 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
В общем резюмирую. Выяснил у старого админа логин и пароль, был по умолчанию admin-damin!!! Как выяснил логин и пароль сразу все стало на свои места, ваши предположения подтвердились. Буду сбрасывать, перенастраивать. На вэб морду попасть не могу, видимо как то заблочил нехороший человек его.
Вопрос, это вирус или просто так ДНСы работают? Собсвенно когда перенастрою роутер будет на пк все равно банеры в эксплорерах вылетать?
07.02.2014 22:16:15, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75630/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75630/ Fri, 07 Feb 2014 22:16:15 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
а доступа нет к настройкам роутера? если запаролен, то может сбросить настройки и заново перенастроить DNS?


====quote====
А если статику на ПК поставить будет вирус залетать?
=============

проверьте.
07.02.2014 18:55:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75624/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75624/ Fri, 07 Feb 2014 18:55:56 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пытался залезть на Роутер, его старый админ устанавливал. Видимо может прошивку корявую скачал. Либо сма от злости поставил такой ДНС. А если статику на ПК поставить будет вирус залетать?
07.02.2014 15:45:52, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75621/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75621/ Fri, 07 Feb 2014 15:45:52 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
DNS у вас скорее всего подменен на роутере.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.81.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919A1FCA239AEFB18C8BEFFBDA31B0A7C8FA94BB3FC78AFD503EFBA0DDE8406C3E2091C2E83A90D00716A17F932117F16EDAC420A6B41E0B8847229B 9 Win32/DealPly.F

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.QVO6.COM/?UTM_SOURCE=B&UTM_MEDIUM=COR&FROM=COR&UID=WDCXWD5000AAKX-003CA0_WD-WCAYUJU2276622766&TS=1376555934

regt 2
regt 3
deltmp
delnfr
;-------------------------------------------------------------

regt 14
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
07.02.2014 13:15:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75620/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75620/ Fri, 07 Feb 2014 13:15:44 +0400 Обнаружение вредоносного кода и ложные срабатывания DNS поразит. DNS поразит. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пришёл в одно из своих филиалов, на 4х машинах один и тот же вирус, по своей диагностике проблема 100% в ДНСе, погуглел, дела действительно в нём. Банеры во всех браузерах. Лог скидываю с одной из машин. Необходимо почистить все четыре машины, думаю скрипт на все машины подойдет.
Santi, покажи как ты умеешь!!! )))

Извиняюсь
ENGINEER2_2014-02-07_12-27-35.7z
07.02.2014 12:54:06, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic10548/message75618/ http://forum.esetnod32.ru/messages/forum6/topic10548/message75618/ Fri, 07 Feb 2014 12:54:06 +0400 Обнаружение вредоносного кода и ложные срабатывания