Вирус меняет настройки DNS на 127.0.0.1

20 Jun 2012 | Автор: anchous |

Напоролся на тут на интересный вирус, который не встречал еще до этого. Собственно познакомился с ним на стадии того, что клиент, вернувшись из командировки, не смог войти с ноута в инет, так что пришлось подъехать посмотреть.

Машинка Windows 7, стоит NOd32, но Comodo я ему ставить не стал, так как оперативки на ноуте маловато. В инет он оказывается входил, ибо скайп подключался, но вот с бродилкой были какие то проблемы. Глянул ipconfig /all , так и есть – DNS почему то стоит 127.0.0.1 . Зашел в настройки сетки- действительно прописан руками.

Человек естественно клялся и божился, что ничего не трогал, но мы то этих клиентов знаем. :) В итоге сменил на автоматическую выдачу DNS, перегрузил- все работает. Ну и забыл.

Вечером звонок, снова не могу войти- ну по телефону попросил его провести несколько манипуляций, опять DNS сброшен и в настройках в поле DNS ручками прописан 127.0.0.1

Объяснил как исправить и на следующий день, уже вооружившись флехой, поперся смотреть что там происходит
Оказалось вирь, выцепляемый HackJack’ом и Dr.Web CureIT!
пишется в реестр многочисленная настройка DNS, который и сбрасывает ручные- выглядит запись примерно так, только продублирована 5-6 раз для разных классов:
HKLM\System\CCS\Services\Tcpip\..: NameServer = 127.0.0.1

а также автостарт пары рандомных файлов из темпов юзверя. Так что все поотрубал через HackJack, после чего отсканил машинку CureIT!, которая и отловила зверька. Сам что то тормазнул, так как трепался с клиентом за жизнь,  и не записал классификацию по Dr.Web, но как я понимаю по классификации Касперского – это  Trojan-Downloader.Win32.Injecter.lfi

После удаления зловредов и чистки следов их присутствия стоит перетряхнуть стек TCP/IP либо обнулением параметров, либо удалением интерфейса, так как на паре компов была замечена не понятный глюк, что после исправления настройка все равно сбрасывалась, не смотря на то, что в системе уже не было следов присутствия пакости.

Совсем свежачок, появившийся в конце мая.

VN:F [1.9.21_1169]
Rating: 9.1/10 (7 votes cast)
VN:F [1.9.21_1169]
Rating: +3 (from 3 votes)
Вирус меняет настройки DNS на 127.0.0.1, 9.1 out of 10 based on 7 ratings

Теги: ,

Отзывов: 14 на «Вирус меняет настройки DNS на 127.0.0.1»

  1. Автор: Salzach на 23 Jun 2012

    Спасибо, работаю в техподдержке, штук 20 абонентов уже отзвонилось с такой проблемой.

    [Reply]

    anchous Reply:

    новье, причем не понятно де ловится, ибо вылеченный комп прожил нормально в течении двух суток, после чего человек умудрился его снова заработать

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (1 vote cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  2. Автор: Андрей на 08 Nov 2012

    А если вирус блокировал доступ к контекстному меню и отключил кнопки на изменение настроек?

    [Reply]

    anchous Reply:

    безопасный режим тоже блокировал?
    грузите avz в нем есть менбшка восстановления системы- в том числе и разлокировки

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  3. Автор: Александр на 18 Jan 2013

    Спасибо за пост…поймал эту гадость на ноут…причем ни касперыч ни др.веб немогли отловить..спасло только формат диск с комплит…а вот на стационарнике, поймав его еще раз, уже смог отловить без жестких мер…еще раз спасибо!

    [Reply]

    anchous Reply:

    добро пожаловать :)
    для того и существует интернет, чтобы можно было найти что нить полезное

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 3.0/5 (1 vote cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  4. Автор: Владимир на 11 Dec 2013

    Знакомый принес комп – та же фигня 127.0.0.1.
    HackJack’ ловит – но исправить не может и Dr.Web CureIT не излечил даже із LiveCD… находит файлы – удаляет, а через 10 сек они снова на месте. Вирус оказался не убиваем утилитой.

    Удалил так –
    Рецепт Лечения:
    1. программа Starter – запускаем и ищем svchost.exe которий находиться вне папки system32.
    в моес случае был в – C:\Documents and Settings\PERSIO\Application Data….
    (P/S. обычно там кокой-то левый ярлык напротив “левого” процесса)
    2. Запоминаем маршрут – ищем файл (я искал в TotalComander 7.56 с включенной функцией – “показать скрытые файлы”)- так-как он скрытий
    3. В программе Starter убиваем-удаляем сам процесс
    4. удаляем в TotalComander найденый нами ранее файл svchost.exe

    5. (для гарантии поставил бесплатный АВАСТ и в настройках включил -”сканировать при запуске”)

    Перезагрузка
    Удачи… и не болейте вирусами =)

    [Reply]

    Владимир Reply:

    Кстати… при запуске проводника IE/ Opera? Mozila и других – вирус просил ввести персональные данные и номер кредитки.

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  5. Автор: LexaR на 13 Mar 2016

    Здравствуйте! Только что поборол такой же зловред у клиента. DrWeb ничего не нашел. Скачал adwcleaner нашел и обезвредил за пару минут. + прошелся ccleaner отключил все подозрительные процессы в автозапуске и отключил подозрительные запланированные задачи. Вручную очистил папки drivercache, dllcache, prefetch+ очистка диска и реестра средствами ccleaner. Все Good!! Всем удачи!

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  6. Автор: LexaR на 13 Mar 2016

    Ос windows xp.

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: -1 (from 1 vote)
  7. Автор: Воробей на 20 May 2016

    У меня проблема не с DNS а с прокси…вечно сам меняет прокси в настройках IE(Internet options\conections\LAN settings\) и так где под Proxy server стоит галочка на “Use a proxy server….” а переходя в Advanced у меня в первых пунктах HTTP и Secure пишет прокси 127.0.0.1 с портом 8080 а как только убираю это всё..через скорое время опять оно ставится! И не могу инетом пользоваться в браузере(( уже бесит! не понятно как это излечить(

    [Reply]

    anchous Reply:

    если сам меняет, то надо искать ключи в реестре или резидента который сидит в памяти

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  8. Автор: Maria на 21 Sep 2016

    А где на Виндовс 10 можно настроить DSN ?

    [Reply]

    anchous Reply:

    виндавс 10 не пользуюсь и никому не советую )) и да – DSN это источник данных у ODBC, а DNS у всех виндовых машин настраивается видимо в центре управления сетями и общим доступом
    выбираете нужный адаптер, в нем Протокол интернета версии 4 и там DNS

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

Ваш отзыв