Проблема с DNS - похоже на вирус.

serg75 · 29.11.2007, 13:49

Доброго всем дня. У меня возникла интересная проблема. У некоторых наших клиентов (а работаю я в провайдере), стал отваливаться инет. Я пингую их нормально, с их машин идут пинги на локальные и глобальные адреса, но при попытке использовать браузер или пропингать сайт по имени - результат отрицательный, причем, по словам админа, в этот момент начинают рассылаться виндовые запросы. Очень похоже на вирус, пробовали лечить НОДом и Каспером, ничего не находят. Кто сталкивался с подобной проблемой и решил ее, подскажите, плз! В данный момент помогает только переустановка Винды.

Be1 · 29.11.2007, 23:46

ищет айпи днс сервака? может арп-атака?

serg75 · 30.11.2007, 11:46

Нет, начинает швыряться широковещательными запросами.

BuTeKs · 02.12.2007, 19:45

Попробуй посмотреть AVZ (http://z-oleg.com). Похоже на установку proxy.
AVZ думаю поможет - посмотришь какие модули прилипли к explorery.
Другие приложения типа оперы ведут себя так же?
Маловато информации...

yanussss · 04.12.2007, 19:50

Я тоже с таким встречался неоднократно. Ничего не помогало. Приходилось лечить полной переустановкой винды.
Проблема в том, что интернет работает полностью нормально, пакеты уходят и приходят, все шлюзы и адреса прописаны в стеке правильно, но когда любое приложение пытается разрешить доменное имя, то службы ДНС не возвращает ip в ответ на запрос. То есть при попытке, к примеру пингануть напрямую любой хост по ip все работает, а ежели набрать доменное имя, то говорит что неудалось узнать ip.
Весьма неприятная проблема. Возникает как правило после того, как пользователи поползают по некоторым порноресурсам с помощью IE.

Serjio_D · 14.12.2007, 02:36

А службу DNS у клиентов проверяли?
А адреса DNS-серверов в свойствах подключений?
Возможно, что-то прояснит изучение ветки реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip ?
Иногда пустое значение Hostname в подпапке Parameters приводит
к невозможности установить DNS-соединение (как это ни странно).
Адреса DNS-серверов пишутся в подпапке Interfaces в ключах
сетевых интерфейсов. Адреса proxy-серверов IE:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings и
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Connections (в двоичном формате).
Зловреду вполне под силу изменить эти значения.
Их мог изменить и какой-нибудь скрипт, запустившийся с веб-страницы,
не обязательно вирус.
Можно попробовать отключить BHO IExplorer'а (свойства обозревателя ->
программы ->надстройки). Хотя антивирусы должны контролировать BHO.
В общем, одни предположения...

yanussss · 15.12.2007, 00:32

IE тут не причем. Служба ДНС не разрешает доменные имена. В результате невозможно узнать ip не одного узла. В этом вся проблема.
Кто нибудь знает как сбросить настройки ДНС или обнулить, или переустановить или перепривязать службу ДНС в системе, чтобы все работало?
Сегодня лечил от вирусов два компьютера, и на обоих был вирус sifiliz и еще какойто VBS - после удаления обоих с помощью утилиты CureIT и перезагрузки случилась такая проблема. Как решать - не знаю. Не хотелось бы полностью переустанавливать систему.

Serjio_D · 15.12.2007, 20:20

А что пишет ipconfig /all ?
Адреса DNS-серверов (внизу списка) соответствуют реальным?
Если нет, то надо прописать вручную в свойствах TCP/IP-протокола
каждого соединения. (Имя_соединения -> Свойства -> Сеть -> Протокол
Интернета (TCP/IP) -> Свойства -> Использовать следующие адреса
DNS-серверов -> прописываешь -> OK). Адреса DNS-серверов взять у
провайдера, если ipconfig /al их не показывает.
Если сделать как написано, можно даже отключить службу DNS-клиент,
и всё будет работать.

yanussss · 15.12.2007, 23:21

И в ipconfig и везде где необходимо, все параметры правильно прописаны и корректно принимаются от DHCP-серверов. Но операционная система не может разрешить DNS-запрос приложений. В этом вся проблема.

Serjio_D · 16.12.2007, 01:39

Цитата:

Сообщение от yanussss


	И в ipconfig и везде где необходимо, все параметры правильно прописаны и корректно принимаются от DHCP-серверов. Но операционная система не может разрешить DNS-запрос приложений. В этом вся проблема.

М-дааа... Интересная проблема.
Насколько известно, за разрешение доменных имён в IP-адреса отвечает
служба DNS-клиент, являющаяся функцией процесса svchost.exe из
папки system32. Вероятно, в процессе вирусного заражения, этот файл
был модифицирован или повреждён, а затем некорректно восстановлен
антивирусом. Как вариант действий - загрузиться в безопасном и
попробовать заменить его на заведомо корректный. Также стоит
проверить tcpip.sys и связанные с работой сети dll's. Другой вариант -
запустить в обычном режиме команду sfc /scannow , для этого требуется
CD с которого устанавливался Windows, никакой другой не подойдёт.
Установочный диск должен быть точной копией диска Microsoft.
С пиратских сборников работать, скорее всего не будет.
И важное условие: Windows не должен быть модифицирован со времени
установки никакими патчами, заплатками Microsoft, иначе этот номер не
пройдёт.
И всё-таки, спрошу ещё раз, как глухой: DNS-сервера прописаны
вручную во всех соединениях, а доменные имена не разрешаются?
В этой ситуации может помочь прописывание соединений всех программ
через IP-адрес прокси-сервера (провайдера, например). Прокси сам
соединится с DNS-серверами и получит IP-адреса. (В общем-то, решение
не идеальное).
Попробуйте внимательно просмотреть ветку реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters
может что-то подскажет решение.
Для примера: на одной из моих конфигураций отключены и DNS-клиент,
и DHCP-клиент, а svchost.exe блокирован файерволлом, и всё работает,
даже без прокси, с прямого IP-адреса.

Serjio_D · 16.12.2007, 16:17

Цитата:

Сообщение от yanussss


	Кто нибудь знает как сбросить настройки ДНС или обнулить, или переустановить или перепривязать службу ДНС в системе, чтобы все работало?

ipconfig /displaydns
ipconfig /flushdns
ipconfig /registerdns
(Служба DNS-клиент должна быть включена). Не помогает?
Файл HOSTS очищен?
Установка заплаток от Microsoft не помогает?
Надеюсь, не сильно утомил Вас своими советами.
Хочется найти решение.

Serjio_D · 17.12.2007, 20:21

Подробная статья на русском (перевод).
http://www.osp.ru/win2000/2006/02/1156313/
http://www.osp.ru/win2000/2006/02/1156313/_p2.html
http://www.osp.ru/win2000/2006/02/1156313/_p3.html
Больше добавить нечего.

yanussss, если найдёте решение - поделитесь.
Это интересно.

Artus · 20.12.2007, 23:19

как вариант накатать кой нить злобный фаервол и глянуть откель ноги ростут

yanussss · 15.01.2008, 18:37

Будем пробовать, может что и получится. Отпишусь как что-то прояснится.

BuTeKs · 16.01.2008, 10:35

Цитата:


	Проблема в том, что интернет работает полностью нормально, пакеты уходят и приходят, все шлюзы и адреса прописаны в стеке правильно, но когда любое приложение пытается разрешить доменное имя, то службы ДНС не возвращает ip в ответ на запрос. То есть при попытке, к примеру пингануть напрямую любой хост по ip все работает, а ежели набрать доменное имя, то говорит что неудалось узнать ip.

Недавно наблюдал такое явление но со стороны сервера...
Сервер DHCP трижды выдал все парамерты правильно - а клиент на непринял IP. Затем зделал обращение по определённому адресу! (Явно к ботнет). К сожалению я немогу физически подойти к этой сети. Но то что это зверь - очень похоже. При установке клиентом IP и DNS записей вручную - интернет работает. Всё б ничего - но уж очень большие логи Firewall пишет

. Советовал клиенту проверится всеми возможными антивирусами - толку пока нет...

29.11.2007, 13:49	#1
serg75 Неактивный пользователь Регистрация: 29.11.2007 Сообщений: 2 Репутация: 0	Проблема с DNS - похоже на вирус. Доброго всем дня. У меня возникла интересная проблема. У некоторых наших клиентов (а работаю я в провайдере), стал отваливаться инет. Я пингую их нормально, с их машин идут пинги на локальные и глобальные адреса, но при попытке использовать браузер или пропингать сайт по имени - результат отрицательный, причем, по словам админа, в этот момент начинают рассылаться виндовые запросы. Очень похоже на вирус, пробовали лечить НОДом и Каспером, ничего не находят. Кто сталкивался с подобной проблемой и решил ее, подскажите, плз! В данный момент помогает только переустановка Винды.

29.11.2007, 23:46	#2
Be1 Неактивный пользователь Регистрация: 28.11.2007 Сообщений: 10 Репутация: 0	Ответ: Проблема с DNS - похоже на вирус. ищет айпи днс сервака? может арп-атака?

30.11.2007, 11:46	#3
serg75 Неактивный пользователь Регистрация: 29.11.2007 Сообщений: 2 Репутация: 0	Ответ: Проблема с DNS - похоже на вирус. Нет, начинает швыряться широковещательными запросами.

02.12.2007, 19:45	#4
BuTeKs Постоялец Пол: Регистрация: 20.11.2007 Адрес: Литва, Вильнюс Сообщений: 286 Репутация: 484	Ответ: Проблема с DNS - похоже на вирус. Попробуй посмотреть AVZ (http://z-oleg.com). Похоже на установку proxy. AVZ думаю поможет - посмотришь какие модули прилипли к explorery. Другие приложения типа оперы ведут себя так же? Маловато информации...

04.12.2007, 19:50	#5
yanussss Email не подтвержден ! Пол: Регистрация: 27.10.2005 Сообщений: 22 Репутация: 8	Ответ: Проблема с DNS - похоже на вирус. Я тоже с таким встречался неоднократно. Ничего не помогало. Приходилось лечить полной переустановкой винды. Проблема в том, что интернет работает полностью нормально, пакеты уходят и приходят, все шлюзы и адреса прописаны в стеке правильно, но когда любое приложение пытается разрешить доменное имя, то службы ДНС не возвращает ip в ответ на запрос. То есть при попытке, к примеру пингануть напрямую любой хост по ip все работает, а ежели набрать доменное имя, то говорит что неудалось узнать ip. Весьма неприятная проблема. Возникает как правило после того, как пользователи поползают по некоторым порноресурсам с помощью IE.

14.12.2007, 02:36	#6
Serjio_D Пользователь Пол: Регистрация: 13.12.2007 Сообщений: 108 Репутация: 60	Ответ: Проблема с DNS - похоже на вирус. А службу DNS у клиентов проверяли? А адреса DNS-серверов в свойствах подключений? Возможно, что-то прояснит изучение ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip ? Иногда пустое значение Hostname в подпапке Parameters приводит к невозможности установить DNS-соединение (как это ни странно). Адреса DNS-серверов пишутся в подпапке Interfaces в ключах сетевых интерфейсов. Адреса proxy-серверов IE: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings и HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Connections (в двоичном формате). Зловреду вполне под силу изменить эти значения. Их мог изменить и какой-нибудь скрипт, запустившийся с веб-страницы, не обязательно вирус. Можно попробовать отключить BHO IExplorer'а (свойства обозревателя -> программы ->надстройки). Хотя антивирусы должны контролировать BHO. В общем, одни предположения... Последний раз редактировалось Serjio_D; 14.12.2007 в 02:40..

15.12.2007, 00:32	#7
yanussss Email не подтвержден ! Пол: Регистрация: 27.10.2005 Сообщений: 22 Репутация: 8	Ответ: Проблема с DNS - похоже на вирус. IE тут не причем. Служба ДНС не разрешает доменные имена. В результате невозможно узнать ip не одного узла. В этом вся проблема. Кто нибудь знает как сбросить настройки ДНС или обнулить, или переустановить или перепривязать службу ДНС в системе, чтобы все работало? Сегодня лечил от вирусов два компьютера, и на обоих был вирус sifiliz и еще какойто VBS - после удаления обоих с помощью утилиты CureIT и перезагрузки случилась такая проблема. Как решать - не знаю. Не хотелось бы полностью переустанавливать систему. Последний раз редактировалось yanussss; 15.12.2007 в 00:35..

15.12.2007, 20:20	#8
Serjio_D Пользователь Пол: Регистрация: 13.12.2007 Сообщений: 108 Репутация: 60	Ответ: Проблема с DNS - похоже на вирус. А что пишет ipconfig /all ? Адреса DNS-серверов (внизу списка) соответствуют реальным? Если нет, то надо прописать вручную в свойствах TCP/IP-протокола каждого соединения. (Имя_соединения -> Свойства -> Сеть -> Протокол Интернета (TCP/IP) -> Свойства -> Использовать следующие адреса DNS-серверов -> прописываешь -> OK). Адреса DNS-серверов взять у провайдера, если ipconfig /al их не показывает. Если сделать как написано, можно даже отключить службу DNS-клиент, и всё будет работать.

15.12.2007, 23:21	#9
yanussss Email не подтвержден ! Пол: Регистрация: 27.10.2005 Сообщений: 22 Репутация: 8	Ответ: Проблема с DNS - похоже на вирус. И в ipconfig и везде где необходимо, все параметры правильно прописаны и корректно принимаются от DHCP-серверов. Но операционная система не может разрешить DNS-запрос приложений. В этом вся проблема.

17.12.2007, 20:21	#12
Serjio_D Пользователь Пол: Регистрация: 13.12.2007 Сообщений: 108 Репутация: 60	Ответ: Проблема с DNS - похоже на вирус. Подробная статья на русском (перевод). http://www.osp.ru/win2000/2006/02/1156313/ http://www.osp.ru/win2000/2006/02/1156313/_p2.html http://www.osp.ru/win2000/2006/02/1156313/_p3.html Больше добавить нечего. yanussss, если найдёте решение - поделитесь. Это интересно.

20.12.2007, 23:19	#13
Artus Неактивный пользователь Пол: Регистрация: 20.12.2007 Сообщений: 5 Репутация: 1	Ответ: Проблема с DNS - похоже на вирус. как вариант накатать кой нить злобный фаервол и глянуть откель ноги ростут

15.01.2008, 18:37	#14
yanussss Email не подтвержден ! Пол: Регистрация: 27.10.2005 Сообщений: 22 Репутация: 8	Ответ: Проблема с DNS - похоже на вирус. Будем пробовать, может что и получится. Отпишусь как что-то прояснится.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проблема с антивирусами или Поймал хороший вирус	regist	Антивирусы	714	31.07.2022 18:30
Проблема с Виндой - вирус	An_17	Архив	9	14.12.2009 00:08
Введите текст с картинки - похоже на вирус?	Мистер Марио	Архив	5	08.04.2009 22:36
Проблема! Вирус или...? Прошу помощи	alexem	Архив	14	16.08.2008 15:25
Проблема с видеокартой, или вирус?	Vinni_incorp	Скорая помощь	12	27.06.2008 23:36