Подмена DNS

albion
На сайте с 07.10.2005
Offline
247
816

Есть сеть, примерно из 10 ПК. Роутер по DHCP раздает все настройки IP. На одном ПК появился (то ли вирус, то ли еще что то) еще один DHCP сервер, который так же раздает настройки IP, но в качестве шлюза и первичного DNS ставит сам себя, и соответственно, у тех ПК, которые у этого DHCP взяли настройки IP периодически подменяются сайты, к примеру те же одноклассники. Просканировал этот ПК всеми возможными антивирусами - вирусов не обнаружено, почистил всю автозагрузку, но все так и остается по прежнему.

Может знает кто, куда копать дальше? Я пока, кроме метода тыка (завершая все процессы по очереди, а так же удалении драйверов и проверки работы этого ПК, как шлюза) больше выхода не вижу.

K
На сайте с 12.07.2006
Offline
295
Kpd
#1
albion:
Просканировал этот ПК всеми возможными антивирусами

Как именно сканировали? Попробуйте сканировать с загрузочного диска, например, Kaspersky Rescue Disk http://www.kaspersky.com/virus-scanner

Посмотрите список autorun, поищите там подозрительные процессы.

Поставьте файрвол comodo, он покажет активные сетевые подключения.

hosts тоже проверьте, если ещё не проверяли.

albion
На сайте с 07.10.2005
Offline
247
#2
Kpd:
Kaspersky Rescue Disk http://www.kaspersky.com/virus-scanner

Да, этим еще не сканировал - надо попробовать, но по ходу проблему решил. Когда сканировал другими антивирусами, то вирусы были найдены и удалены, но оставалось то, что этот ПК мог через себя трафик гнать (что меня и смутило, и давало представление о том, что вирус не был найден), т.е. я на другом ПК настроил статичный IP, где в качестве шлюза и первичного DNS указал зараженный ПК, и спокойно можно лазить было в инете. Оказалось, что так был настроен виндовый фаервол и после установки значений по умолчанию - трафик перестал через этот ПК идти.

---------- Добавлено 23.08.2013 в 12:40 ----------

Kpd:
Посмотрите список autorun, поищите там подозрительные процессы.
Kpd:
hosts тоже проверьте, если ещё не проверяли.

Это проверяю в первую очередь

Kpd:
Поставьте файрвол comodo, он покажет активные сетевые подключения.

Спасибо. Буду знать про этот фаервол

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий