Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 10.02.2016, 18:57   #16 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

да, вирус пропатчил dnsapi.dll так чтобы можно было перенаправлять на нужные левые URL адреса

т.е это работает, как если бы настройки DNS были изменены,

а в данном случае, настройки DNS правильны, но dnsapi.dll все равно будет обрабатывать адреса уже на основе внесенных в него изменений.
safety вне форума  
Ads
Старый 10.02.2016, 19:06   #17 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

новый образ uvs_latest - http://rghost.ru/6kb2nNjjG
lohudra вне форума  
Старый 10.02.2016, 19:27   #18 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

замена DNSapi.dll прошла удачно,

Полное имя C:\WINDOWS\SYSTEM32\DNSAPI.DLL
Имя файла DNSAPI.DLL
Тек. статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ DLL в автозапуске

Удовлетворяет критериям
WHITE.LIST (ЦИФР. ПОДПИСЬ ~ WDSL)(1) [verified (2)]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ DLL в автозапуске
File_Id 4D6F3B3F27000
Linker 7.10
Размер 149504 байт
Создан 15.04.2008 в 16:00:00
Изменен 10.02.2016 в 06:52:34

TimeStamp 03.03.2011 в 06:54:55
EntryPoint +
OS Version 5.0
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя DNSAPI.DLL
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows Component Publisher

Оригинальное имя dnsapi
Версия файла 5.1.2600.6089 (xpsp_sp3_gdr.110302-1625)
Версия продукта 5.1.2600.6089
Описание DNS Client API DLL
Продукт Microsoft® Windows® Operating System
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 B22A94459233F8E3ACEDA37F7152FAFF4D1C8277
MD5 443FA2B9D23DAA57077A670E7B14052A

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\LSASS.EXE
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Процесс C:\DOCUMENTS AND SETTINGS\ALBERT\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
Процесс C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini
--------------------
далее,
если проблем более не наблюдается,
7.закрываем уязвимости
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
safety вне форума  
Старый 10.02.2016, 19:37   #19 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

+
такой скрипт еще выполните в FRST

6. скачайте отсюда
http://rghost.ru/private/8bwnfNPYZ/d...28eea969eb06f0

и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
safety вне форума  
Старый 11.02.2016, 09:59   #20 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от lohudra
Fixlog - [URL="http://exfile.ru/479730"]http://exfile.ru/479730[/URL

Что делать с Оставшимеся пустыми ярлыками от заражения?]
напишите подробнее, какие проблемы еще остались
safety вне форума  
Старый 11.02.2016, 10:31   #21 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
По умолчанию

- пустой ярлык в панели быстрого запуска от Yandex-браузера,
- в пуске пустой ярлык от программы
- на раб. столе - пустой ярлык Yeabeats Browser
- при запуске Yandex-браузера, запуск происходит со стартовой страницы - http://www.yeabests.cc/
- в C:\Documents and Settings\All Users\Application Data - папки: IObit
- в C:\Program Files\Common Files - папки: IObit
lohudra вне форума  
Старый 11.02.2016, 10:49   #22 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

пустые ярлыки просто удалите

так же удалите ярлык Яндекс-браузера, и заново создайте новый ярлык.

папки Iorbit если не нужны, так же удалите вручную.
safety вне форума  
Старый 11.02.2016, 11:02   #23 (ссылка)
Новичок
 
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
Thumbs up

Спасибо Большое!
Благодарность в $)
lohudra вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
атака ARP krest-finn Безопасность 4 03.07.2012 12:16
Атака вирусов!!!!! TaTaRin56 Безопасность 46 02.07.2010 20:59
атака вирусов Vo Vo Безопасность 7 22.09.2009 21:53
Сетевая атака серый кот Безопасность 2 11.07.2009 01:13
Атака на DNS Relic Программирование 0 07.11.2008 13:23


Текущее время: 14:25. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.