Вирус меняет настройки DNS на 127.0.0.1
20 Jun 2012 | Автор: dd |Напоролся на тут на интересный вирус, который не встречал еще до этого. Собственно познакомился с ним на стадии того, что клиент, вернувшись из командировки, не смог войти с ноута в инет, так что пришлось подъехать посмотреть.
Машинка Windows 7, стоит NOd32, но Comodo я ему ставить не стал, так как оперативки на ноуте маловато. В инет он оказывается входил, ибо скайп подключался, но вот с бродилкой были какие то проблемы. Глянул ipconfig /all , так и есть – DNS почему то стоит 127.0.0.1 . Зашел в настройки сетки- действительно прописан руками.
Человек естественно клялся и божился, что ничего не трогал, но мы то этих клиентов знаем. 
В итоге сменил на автоматическую выдачу DNS, перегрузил- все работает. Ну и забыл.
Вечером звонок, снова не могу войти- ну по телефону попросил его провести несколько манипуляций, опять DNS сброшен и в настройках в поле DNS ручками прописан 127.0.0.1
Объяснил как исправить и на следующий день, уже вооружившись флехой, поперся смотреть что там происходит
Оказалось вирь, выцепляемый HackJack’ом и Dr.Web CureIT!
пишется в реестр многочисленная настройка DNS, который и сбрасывает ручные- выглядит запись примерно так, только продублирована 5-6 раз для разных классов:
HKLM\System\CCS\Services\Tcpip\..: NameServer = 127.0.0.1
а также автостарт пары рандомных файлов из темпов юзверя. Так что все поотрубал через HackJack, после чего отсканил машинку CureIT!, которая и отловила зверька. Сам что то тормазнул, так как трепался с клиентом за жизнь, и не записал классификацию по Dr.Web, но как я понимаю по классификации Касперского – это Trojan-Downloader.Win32.Injecter.lfi
После удаления зловредов и чистки следов их присутствия стоит перетряхнуть стек TCP/IP либо обнулением параметров, либо удалением интерфейса, так как на паре компов была замечена не понятный глюк, что после исправления настройка все равно сбрасывалась, не смотря на то, что в системе уже не было следов присутствия пакости.
Совсем свежачок, появившийся в конце мая.
Вирус меняет настройки DNS на 127.0.0.1,
Автор: на 23 Jun 2012
Спасибо, работаю в техподдержке, штук 20 абонентов уже отзвонилось с такой проблемой.
[Reply]
anchous Reply:
June 24th, 2012 at 7:29 pm
новье, причем не понятно де ловится, ибо вылеченный комп прожил нормально в течении двух суток, после чего человек умудрился его снова заработать
[Reply]
Автор: на 08 Nov 2012
А если вирус блокировал доступ к контекстному меню и отключил кнопки на изменение настроек?
[Reply]
anchous Reply:
November 13th, 2012 at 11:06 pm
безопасный режим тоже блокировал?
грузите avz в нем есть менбшка восстановления системы- в том числе и разлокировки
[Reply]
Автор: на 18 Jan 2013
Спасибо за пост…поймал эту гадость на ноут…причем ни касперыч ни др.веб немогли отловить..спасло только формат диск с комплит…а вот на стационарнике, поймав его еще раз, уже смог отловить без жестких мер…еще раз спасибо!
[Reply]
anchous Reply:
January 19th, 2013 at 12:14 am
добро пожаловать
для того и существует интернет, чтобы можно было найти что нить полезное
[Reply]
Автор: на 11 Dec 2013
Знакомый принес комп – та же фигня 127.0.0.1.
HackJack’ ловит – но исправить не может и Dr.Web CureIT не излечил даже із LiveCD… находит файлы – удаляет, а через 10 сек они снова на месте. Вирус оказался не убиваем утилитой.
Удалил так –
Рецепт Лечения:
1. программа Starter – запускаем и ищем svchost.exe которий находиться вне папки system32.
в моес случае был в – C:\Documents and Settings\PERSIO\Application Data….
(P/S. обычно там кокой-то левый ярлык напротив “левого” процесса)
2. Запоминаем маршрут – ищем файл (я искал в TotalComander 7.56 с включенной функцией – “показать скрытые файлы”)- так-как он скрытий
3. В программе Starter убиваем-удаляем сам процесс
4. удаляем в TotalComander найденый нами ранее файл svchost.exe
5. (для гарантии поставил бесплатный АВАСТ и в настройках включил -”сканировать при запуске”)
Перезагрузка
Удачи… и не болейте вирусами =)
[Reply]
Владимир Reply:
December 11th, 2013 at 3:07 pm
Кстати… при запуске проводника IE/ Opera? Mozila и других – вирус просил ввести персональные данные и номер кредитки.
[Reply]
Автор: на 13 Mar 2016
Здравствуйте! Только что поборол такой же зловред у клиента. DrWeb ничего не нашел. Скачал adwcleaner нашел и обезвредил за пару минут. + прошелся ccleaner отключил все подозрительные процессы в автозапуске и отключил подозрительные запланированные задачи. Вручную очистил папки drivercache, dllcache, prefetch+ очистка диска и реестра средствами ccleaner. Все Good!! Всем удачи!
[Reply]
Автор: на 13 Mar 2016
Ос windows xp.
[Reply]
Автор: на 20 May 2016
У меня проблема не с DNS а с прокси…вечно сам меняет прокси в настройках IE(Internet options\conections\LAN settings\) и так где под Proxy server стоит галочка на “Use a proxy server….” а переходя в Advanced у меня в первых пунктах HTTP и Secure пишет прокси 127.0.0.1 с портом 8080 а как только убираю это всё..через скорое время опять оно ставится! И не могу инетом пользоваться в браузере(( уже бесит! не понятно как это излечить(
[Reply]
anchous Reply:
May 20th, 2016 at 5:30 pm
если сам меняет, то надо искать ключи в реестре или резидента который сидит в памяти
[Reply]
Автор: на 21 Sep 2016
А где на Виндовс 10 можно настроить DSN ?
[Reply]
anchous Reply:
September 21st, 2016 at 11:05 am
виндавс 10 не пользуюсь и никому не советую )) и да – DSN это источник данных у ODBC, а DNS у всех виндовых машин настраивается видимо в центре управления сетями и общим доступом
выбираете нужный адаптер, в нем Протокол интернета версии 4 и там DNS
[Reply]