Форум esetnod32.ru [тема: обнаружена атака путем подделка записей кеша DNS] http://forum.esetnod32.ru Новое в теме обнаружена атака путем подделка записей кеша DNS форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 11:18:06 +0300 обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
если опять проявится проблема, то можно будет снять ее этим скриптом. из сообщения 16.
--------
и за java следите, чтобы всегда была установлена актуальная версия.
25.12.2012 11:59:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60201/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60201/ Tue, 25 Dec 2012 11:59:14 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
спасибо. вроде проблема решилась.
25.12.2012 11:56:38, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60200/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60200/ Tue, 25 Dec 2012 11:56:38 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
25.12.2012 09:55:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60198/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60198/ Tue, 25 Dec 2012 09:55:52 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
пока проблем не видно... а когда появятся, поздно будет :(((
у меня дома 2 ноута стоит. проблемы только на одном выскакивают. на другом все чисто.
25.12.2012 08:39:40, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60196/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60196/ Tue, 25 Dec 2012 08:39:40 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
FBIRUS пишет:
незнаю что делать
=============
Так я уже написал в предыдущем сообщении.
24.12.2012 19:39:12, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60174/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60174/ Mon, 24 Dec 2012 19:39:12 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
теперь опять появилось http://clip2net.com/s/2DJ6v
незнаю что делать  :(((
FBIRUS-ПК_2012-12-24_21-08-24.7z
24.12.2012 18:14:17, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60166/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60166/ Mon, 24 Dec 2012 18:14:17 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
Это Омский адрес.
Похоже, на вас таки идут атаки.
Если кроме сообщений никаких других проблем нет, посоветовал бы просто отключить уведомления об атаках.
24.12.2012 14:53:14, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60151/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60151/ Mon, 24 Dec 2012 14:53:14 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
а инет... вроде работает но пишет тоже самое обнаружена атака путем подделки записей кэша DNS удаленный IP 91.144.170.2
24.12.2012 14:30:49, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60146/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60146/ Mon, 24 Dec 2012 14:30:49 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
не понял??? что выставить на автомат???
24.12.2012 14:28:14, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60145/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60145/ Mon, 24 Dec 2012 14:28:14 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
выставьте на автомат, проверьте как будет работать
24.12.2012 13:58:57, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60142/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60142/ Mon, 24 Dec 2012 13:58:57 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
так мне адрес DNS продиктовал мой провайдер. может нахрен все удалить и оставить получить IP автоматически??? и DNS автоматически???
24.12.2012 13:49:50, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60141/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60141/ Mon, 24 Dec 2012 13:49:50 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
проблема осталась :(((
FBIRUS-ПК_2012-12-24_16-39-39.7z
2012-12-24_16-26-50_log.txt
mbam-log-2012-12-24 (16-46-43).txt
24.12.2012 13:45:17, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60140/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60140/ Mon, 24 Dec 2012 13:45:17 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 159BB1735309A5BFA0DE460948D9F982 517776
addsgn 9252770A1C6AC1CC0B54584E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Sly.Monk
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
addsgn 1A4BB79A5583358CF42B627DA804DEC9700110A1DF716A740E8ED5372DDEFA8DA8C6C09105ABEB4110788B1DE21749FAFC26E87355DAC233AE4A44BB8D062207 8 Vir78979
delref HTTP://ACER.MSN.COM
setdns Беспроводное сетевое соединение\4\{620DA382-9C3B-4F35-ABCF-14D2CA067C45}\91.144.168.2
chklst
delvir
deltmp
delnfr
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
24.12.2012 01:03:46, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60134/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60134/ Mon, 24 Dec 2012 01:03:46 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Арвид пишет:
у него в DNS прописан адрес Гугла
=============
А точно, что-то на меня нашло) знал же этот адрес
Ну, не знаю, сначала все-таки лучше логи сделать.
Не нравятся мне эти исполняемые .class-файлы.
24.12.2012 00:58:25, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60133/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60133/ Mon, 24 Dec 2012 00:58:25 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
А вы знаете, что это за компьютер с адресом 8.8.8.8?
=============
у него в DNS прописан адрес Гугла.
24.12.2012 00:55:28, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60132/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60132/ Mon, 24 Dec 2012 00:55:28 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:
Можно Java удалить.
=============
Ну, это не серьезно. Во-первых, есть сайты которые используют Java-сервлеты, во-вторых, вдруг пользователь - программист?
В любом соучае Java - основной язык для написания кроссплатформенных приложений, и может быть потом такое, что некоторые приложения после удаления JRE не будут работать.


====quote====
FBIRUS пишет:
теперь пишет удаленный IP 8.8.8.8
=============
А вы знаете, что это за компьютер с адресом 8.8.8.8?
Можно использовать рекомендации с темы http://forum.esetnod32.ru/forum9/topic5130/
Но нужно быть уверенным в действительном отсутствии атак с исключаемого адреса.
Так что лучше сделать сканирование системы, логи и т.п.
И просто отключить появление уведомлений об атаке.
24.12.2012 00:54:11, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60131/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60131/ Mon, 24 Dec 2012 00:54:11 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
Можно Java удалить.
23.12.2012 23:00:25, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60128/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60128/ Sun, 23 Dec 2012 23:00:25 +0400 Обнаружение вредоносного кода и ложные срабатывания обнаружена атака путем подделка записей кеша DNS обнаружена атака путем подделка записей кеша DNS в форуме Обнаружение вредоносного кода и ложные срабатывания.
помогите пожалуйста. вроде только справились с проблемой и через неделю опять появилось. теперь пишет удаленный IP 8.8.8.8.  и удаленный IP 91.144.168.2 - это адрес моего DNS сервера. он прописан в настройках подключения. че за ерунда не могу понять...
вот картинка того что пишет http://clip2net.com/s/2DyUI
вот что обнаружил и удалил NOD 32:
C:\Users\FBIRUS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\35de3567-711e160d = ZIP = lBfIajsT.class - модифицированный Java/Exploit.Agent.NDV троянская программа - был частью удаленного объекта
C:\Users\FBIRUS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\35de3567-711e160d = ZIP = NjuJbtR .class - модифицированный Java/Exploit.CVE-2012-1723.DV троянская программа - был частью удаленного объекта
C:\Users\FBIRUS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\35de3567-711e160d = ZIP = qUm.class - модифицированный Java/Exploit.CVE-2012-1723.EN троянская программа - был частью удаленного объекта
вот образ автозапуска:
FBIRUS-ПК_2012-12-24_00-48-06.7z
23.12.2012 22:05:04, FBIRUS.]]> http://forum.esetnod32.ru/messages/forum6/topic8191/message60127/ http://forum.esetnod32.ru/messages/forum6/topic8191/message60127/ Sun, 23 Dec 2012 22:05:04 +0400 Обнаружение вредоносного кода и ложные срабатывания