ปัญหา DNS หลังจากติดมัลแวร์

1

ฉันมีแล็ปท็อปที่มีการติดมัลแวร์บางประเภท ฉันไม่สามารถติดต่อ microsoft.com, symantec.com และอื่น ๆ ได้ ฉันตรวจสอบไฟล์โฮสต์แล้ว แต่ไม่มีรายการที่ผิดปกติ มัลแวร์ชิ้นอื่นอาจจัดเตรียมเอฟเฟกต์อื่น ๆ ด้วยวิธีใด ฉันยังไม่ได้ใช้มาตรการใด ๆ เพื่อทำความสะอาดเชื้อ แต่ฉันสนใจที่จะเข้าใจกลไกนี้ก่อนที่จะทำความสะอาด

แก้ไข: ตามที่ระบุไว้ในความคิดเห็นด้านล่าง nslookup เทียบกับเซิร์ฟเวอร์ DNS ที่กำหนดค่าจะให้ผลลัพธ์ที่ถูกต้อง

dns  malware 
spender
แหล่งที่มา

คำตอบ:

5

ดูเหมือนสับสน

นี่คือข้อมูลเพิ่มเติมและเครื่องมือลบสำหรับ Conficker http://en.wikipedia.org/wiki/Conficker

nysingh
แหล่งที่มา
จากลิงค์วิกิพีเดีย: "แพทช์ในหน่วยความจำยังถูกนำไปใช้กับตัวแก้ไขระบบ DLL เพื่อบล็อกการค้นหาชื่อโฮสต์ที่เกี่ยวข้องกับผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสและบริการ Windows Update ดูเหมือนว่า Droid ฉันกำลังมองหา จะตรวจสอบถนนสายนี้ ขอบคุณสำหรับทิป.
spender
ดูเหมือนว่านี่เป็นสิ่งที่ถูกต้อง การเรียกใช้ชุด Conficker ของ Sophos ได้เปิดการติดเชื้อ จะทำการสแกนจาก bootdisc BartPE เพื่อล้างสิ่งอื่น ๆ แต่คิดว่าฉันอาจจะจบการจัดรูปแบบ Bah ไชโย
spender
2

นี่ดูเหมือนจะเป็นปัญหาที่ฉันมีกับการติดตั้ง DNS changer มันเป็นม้าโทรจันจริงๆ http://www.spywareremove.com/removednschanger.html จะเปลี่ยนการตั้งค่า DNS ของฉันที่ไหนและทำให้เกิดปัญหาการเชื่อมต่ออินเทอร์เน็ต นอกจากนี้ System Security 2009 ไม่ใช่โปรแกรมป้องกันสปายแวร์จริง ๆ แต่เป็นของปลอม คุณจะต้องสแกนระบบของคุณด้วยโปรแกรมต่อต้านมัลแวร์ตัวจริงเพื่อล้างมันออกจากไฟล์ที่เป็นสาเหตุของปัญหา โชคดี!

Darrin Tyson
แหล่งที่มา
1

โดยทั่วไปจะเป็นเพียงไฟล์โฮสต์ บางครั้งพวกเขาอาจลองและเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ DNS เครือข่ายจริงของคุณเป็นเซิร์ฟเวอร์ DNS (แฮ็ค) ที่แตกต่างกันดังนั้นจึงน่าลอง

นอกจากนี้ลองไปที่ command prompt แล้วพิมพ์ 

netsh int ip reset

สิ่งนี้ควรรีเซ็ต ip stack บนเครื่องของคุณ แต่ใช้เป็นทางเลือกสุดท้ายเท่านั้น

William Hilsum
แหล่งที่มา
1
ไฟล์โฮสต์อาจพบได้ใน "C: \ Windows \ System32 \ drivers \ etc \ hosts" ตรวจสอบให้แน่ใจว่ามีเฉพาะ "127.0.0.1 localhost" และ "# :: 1 localhost"
harrymc
ฉันไม่ได้เพิ่มสิ่งนั้นเหมือนในคำถามเขาบอกว่าเขาตรวจสอบไฟล์โฮสต์แล้ว แต่ก็ยังดีที่เห็น -1
William Hilsum
1

มีสถานที่มากมายที่นักบล็อกเกอร์สามารถซ่อนตัวได้ พวกเขาอาจติดตั้ง hooks บางอันลงในเบราว์เซอร์ / เบราว์เซอร์ของคุณ อาจมีโปรแกรมที่คล้ายกับ Dell / Google Search Search ติดตั้งอยู่ ดังที่ Wil กล่าวว่ายังมีการตั้งค่า DNS ที่พวกเขาอาจแฮ็กพวกเขาอาจส่งคุณผ่านพร็อกซี อาจมีรูทคิทที่มีเคอร์เนลของคุณทั้งหมด FUBAR จะ หากคุณมีความคิดเกี่ยวกับสิ่งที่คุณพบเจอสิ่งนั้นจะเป็นประโยชน์อย่างมากหากคุณทราบว่าขุดอยู่ตรงไหน

โชคดี.

Dustin
แหล่งที่มา
แน่นอนว่ามันทำให้ DNS ของฉันเบื่อซึ่งไม่ได้รับการแก้ไขในบางไซต์ nslookup กับเซิร์ฟเวอร์ DNS ที่กำหนดค่าของฉัน แต่จะให้ผลลัพธ์ที่ถูกต้อง ฉันอาจจะทำการฟอร์แมตใหม่เพราะฉันไม่ค่อยเชื่อใจในการกำจัดมัลแวร์ในทุกวันนี้
spender
ใช่การจัดรูปแบบเป็นความคิดที่ดีหลังจากติดมัลแวร์
Powerlord
1

ก่อนอื่นให้กำหนดมัลแวร์ จากนั้นลบทิ้ง การทำงานกับอาการผิดเมื่อคุณรู้ว่าคุณมีปัญหา เริ่มต้นด้วย / รูท!

Aaaaaaaaaha ERLEBNIS
แหล่งที่มา
0

ดูเหมือนว่าบางสิ่งที่ฉันจัดการกับ "System Security 2009" ... ดูที่ Trojan.Poison.J

ส่วนหนึ่งของปัญหาคือฉันเชื่อว่ามันเพิ่ม BHO ที่จะตีกลับคุณโดยอัตโนมัติไปที่ "หน้าเว็บนี้เป็นข้อความอันตรายทุกครั้งที่คุณไปที่เว็บไซต์ Antivirus (หรือ Microsoft) มีประสิทธิภาพและน่ารำคาญ

หากคุณรวดเร็วคุณสามารถเห็นโหลด Windows Update จากนั้นโหลดหน้าอื่นตามที่ BHO ตีกลับคุณ

แหล่งต้นฉบับที่นี่: http://blog.plaitsolutions.com/2009/09/25/update-to-previous-post-on-emails-that-are-bogus.aspx?ref=rss 

So, here's what you do if this vile piece of malware is inhabiting your PC (read this through carefully before starting the work):
Removing System Security 2009 manually******:

1.  Boot into Safe Mode.

2.  Browse to and remove the following files:

C:\Documents and Settings\All Users\Application Data\00308937*\pc00308937ins*
C:\Documents and Settings\All Users\Application Data\00308937*\00308937.exe*
C:\Documents and Settings\All Users\Application Data\00308937*\config.udb
C:\Documents and Settings\{your username directory}**\Desktop\System Security 2009.lnk
C:\Documents and Settings\{your username directory}**\Start Menu\Programs\System Security\System Security 2009 Support.lnk
C:\Documents and Settings\{your username directory}**\Start Menu\Programs\System Security\System Security 2009.lnk
* - The number in this command (00308937) may not be the actual number you see in the directory.  If so, replace that number with the one in the directory.

** - replace "{your username directory)" with the name of the user's folder under Documents and Settings.  For example, my username is "Sid", so the path to the System Security 2009.lnk file would be:

 C:\Documents and Settings\Sid\Desktop\System Security 2009.lnk
3.  Delete the following registry entries:

HKEY_LOCAL_MACHINE\Software\00308937*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “00308937″*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009
* - The number in these registry entries (00308937) may not be the actual number you see in the directory.  If so, replace that number with the one in the directory (the same one you used in the previous step).

****** - Manual removal of System Security 2009 is a dangerous task if you aren't familiar with the registry.  If you remove the wrong keys, you could cause your computer to stop working. While it has worked in every case for me so far, the malware may reappear.  I suggest you either use an automated tool or call a professional to remove it.
Benjamin Schollnick
แหล่งที่มา
สิ่งนี้ได้รับการพิสูจน์แล้วว่าเป็นตรอกซอย (มันกระทบทุกอย่างไม่ใช่แค่ IE และ BHO เท่านั้น) แต่ขอบคุณสำหรับเวลาของคุณ
spender
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.