Форум esetnod32.ru [тема: Не пускают на eset.com и др антивирусные сайты] http://forum.esetnod32.ru Новое в теме Не пускают на eset.com и др антивирусные сайты форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 14:25:29 +0300 Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
C:\WINDOWS\ABJDA\PKMAILER.EXE
Полной уверенности нет но могли увести цифровую подпись.
Стоит проверить файл на Virus Total.
http://www.virustotal.com/index.html
03.10.2011 14:14:04, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21213/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21213/ Mon, 03 Oct 2011 14:14:04 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
по DNS,
возможно переадресация была на динамический_поддельный DNS-сервер.
03.10.2011 12:13:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21207/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21207/ Mon, 03 Oct 2011 12:13:01 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните в uVS скрипт из буфера обмена.
перед выполнением скипта закрыть браузеры

====code==== 
;uVS v3.71 script [http://dsrt.dyndns.org]

ZOO %SystemRoot%\APPPATCH\ILKUKMD.EXE 
delall %SystemRoot%\APPPATCH\ILKUKMD.EXE 
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
czoo
restart
=============
--
после перезагрузки:
1. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
  например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту virusesnod32@gmail.com, support@esetnod32.ru;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
2. сделайте дополнительно лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
03.10.2011 12:10:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21206/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21206/ Mon, 03 Oct 2011 12:10:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, я исключил его из автозапуска, видимо самозащита не позволяла удалить его в активном режиме.
образ новый сейчас посмотрю
03.10.2011 12:04:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21205/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21205/ Mon, 03 Oct 2011 12:04:55 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
ping eset.com

Обмен пакетами с eset.com [72.3.254.86] по 32 байт:

Ответ от 72.3.254.86: число байт=32 время=335мс TTL=114
Ответ от 72.3.254.86: число байт=32 время=327мс TTL=114
Ответ от 72.3.254.86: число байт=32 время=327мс TTL=114
Ответ от 72.3.254.86: число байт=32 время=327мс TTL=114

Фух, все заработало, сайты открываются!

Как я понял все дело было именно в файле ILKUKMD.EXE, Вы удалили ссылку на файл из реестра, так?
Файл не удалился, но теперь не имеет связи с запуском. Не понятно каким образом он подменял DNS?

Я ВАМ ОЧЕНЬ БЛАГОДАРЕН! СПАСИБО ЗА ПОМОШЬ!

Лог ниже.
ANDREWUSSOLTSEV_2011-10-03_13-49-14.rar
03.10.2011 12:02:21, crashzzz.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21204/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21204/ Mon, 03 Oct 2011 12:02:21 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок,
выполните в uVS скрипт из буфера обмена

====code==== 
;uVS v3.71 script [http://dsrt.dyndns.org]

sreg
delref %SystemRoot%\APPPATCH\ILKUKMD.EXE
areg
=============

будет автоматическая перезагрузка,
после перезагрузки добавьте новый образ автозапуска в uVS
--------
сорри, да, не обратил внимание в вашем сообщении по статическим маршрутам.
03.10.2011 09:01:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21195/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21195/ Mon, 03 Oct 2011 09:01:00 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. Скрипт выполнен.

2. Пробуем зайти на www.eset.com попадем на yandex.kz, обновить антивирус не получается.

3. Архив с подозрительным файлом Вам на почту отправил, с указанным паролем infected.

4. Файл нового образа прикреплен ниже.

5. Первое что проверил подозрительный файл ilkukmd.exe  - находится в C:\WINDOWS\AppPatch по прежнему на месте с тем же именем.
  Скрипт удалил все постоянные маршруты, это не проблема, пропишу снова.
  Интересную информацию выдает KidoKiller, как я понял идет полная подмена DNS сайтов, но где? лог прилагаю ниже, может поможет разобраться, файл dnsapi.dll заменял на новый скачанный, результат тот же.
  Проверил DNS программой Hosts Virus Detector, результат - подмена DNS, лог приложен.

  Прошу помощи, заранее благодарен.
ANDREWUSSOLTSEV_2011-10-03_09-56-56.rar
LOGKidoKiller.txt

03.10.2011 08:24:00, crashzzz.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21194/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21194/ Mon, 03 Oct 2011 08:24:00 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. выполните в uVS приложенный скрипт (меню- скрипт - выполнить скрипт из файла);

после перезагрузки,
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
  например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту virusesnod32@gmail.com, support@esetnod32.ru;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

далее,
4. добавить на форум новый образ автозапуска uVS.

5. пишем кратко о состоянии системы после выполнения действий.
scr.txt
01.10.2011 10:45:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21161/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21161/ Sat, 01 Oct 2011 10:45:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Тот же лог в архиве
ANDREWUSSOLTSEV_2011-10-01_10-21-40.rar
01.10.2011 08:43:44, crashzzz.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21159/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21159/ Sat, 01 Oct 2011 08:43:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты Не пускают на eset.com и др антивирусные сайты в форуме Обнаружение вредоносного кода и ложные срабатывания.
"Произошла ошибка при загрузке файлов обновлений"
При попытке зайти на сайт www.eset.com попадаю на yandex.kz
Антивирусные сайты kaspersky.ru, drweb.ru, z-oleg.com перенаправляются на yandex.kz

ping eset.com
Обмен пакетами с ya.ru [87.250.250.3] по 32 байт:
Ответ от 87.250.250.3: число байт=32 время=155мс TTL=52
Ответ от 87.250.250.3: число байт=32 время=156мс TTL=52

Файл Hosts проверил чист. Путь к нему в реестре правильный, скрытых файлов нет.

Маршруты статические проверял, есть только те которые я сам прописывал для работы.

 10.245.0.0      255.255.0.0     192.168.15.1       1
192.168.0.0      255.255.0.0     192.168.15.1       1
10.240.13.0    255.255.255.0     192.168.15.1       1
 10.190.1.0    255.255.255.0      10.191.30.1       1
 10.190.0.0      255.255.0.0      10.191.30.1       1
192.168.1.0    255.255.255.0      192.168.1.1       1
   10.8.3.0    255.255.255.0      10.191.30.1       1
10.191.82.0    255.255.255.0      10.191.30.1       1
 10.192.0.0      255.255.0.0      10.191.30.1       1

Есть подозрительный файл ilkukmd.exe находится в C:\WINDOWS\AppPatch , удалял его,
он снова через пару секунд прописывается с тем же именем.


Лог прикреплен ниже.
ANDREWUSSOLTSEV_2011-10-01_10-21-40.TXT
01.10.2011 08:42:09, crashzzz.]]> http://forum.esetnod32.ru/messages/forum6/topic2447/message21158/ http://forum.esetnod32.ru/messages/forum6/topic2447/message21158/ Sat, 01 Oct 2011 08:42:09 +0400 Обнаружение вредоносного кода и ложные срабатывания