Перейти к содержанию
Правила раздела

Изменение адреса DNS-сервера

Kolosova

От Kolosova
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Kolosova Новичок

Kolosova

Опубликовано
Опубликовано

Уважаемые консультанты, помогите, пожалуйста ! 

Периодически меняются сетевые настройки:

  -Предпочитаемый DNS-сервер    37.10.116.202

  -Альтернативный  DNS-сервер    8.8.8.8

ОС -Windows XP Professional

Антивирус Касперский 6.0 для Windows Workstations вирусов не находит.

         

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Kolosova Новичок

Kolosova

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Отвечаю Вам с большим опозданием (была горячая пора). Но все это время я не бездействовала. Выполнила все Ваши рекомендации по ссылке http://forum.kasperskyclub.ru/index.php?showtopic=31551 . Находились вирусы, ПК лечился и была надежда, что может быть, наконец -то, все будет в порядке. Но нет, опять менялся адрес DNS-сервера. Убрала Касперского для рабочих станций, установила Касперский 2013 лицензионный, обновила базы, проверила все, нашлись пару вирусов и уязвимости, все устранила. Проверяла Касперским ежедневно в надежде, что обновлённая сигнатура поможет выявить вирус. Касперский говорил, что все хорошо. Запускала неоднократно утилиты AVZ, RSIT. В течение дня проверяла настройку сетевой карты. Менялась настройка всегда во второй половине дня. 

 

Очень жду Ваших рекомендаций.

 

Прикрепляю файлы протоколов.

info.txt

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Здравствуйте!
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\tasks\At2.job','');
 QuarantineFile('C:\WINDOWS\tasks\At3.job','');
 QuarantineFile('C:\WINDOWS\system32\tasks\At2','');
 QuarantineFile('C:\WINDOWS\system32\tasks\At3','');     
 DeleteFile('C:\WINDOWS\tasks\At2.job','32');     
 DeleteFile('C:\WINDOWS\tasks\At3.job','32');
 DeleteFile('C:\WINDOWS\system32\tasks\At2','32');     
 DeleteFile('C:\WINDOWS\system32\tasks\At3','32');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;       
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи RSIT. 

 

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Пофиксите в Hijackthis:



O17 - HKLM\System\CCS\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0866A7-5D02-4362-A028-E25B5E508737}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8

сделайте новые логи RSIT

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

 

 

 

Сделайте лог AdwCleaner
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-160195

 

 

Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:

http://df.ru/~kad/ScanVuln.txt

 

Примечания:
1. Для работы скрипта требуется антивирусная утилита AVZ версии не ниже 4.32.
2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: log. Если это сделать не удалось, то в корень диска C:.
3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
4. Перезагрузите компьютер и повторно выполните скрипт для проверки.

 

Ссылка на комментарий
Поделиться на другие сайты
Kolosova Новичок

Kolosova

Опубликовано
  • Автор
Опубликовано

Добрый вечер !

Выполнила Ваши инструкции, но с небольшими отступлениями. А именно: При установке Malwarebytes' Anti-Malware не сняла галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO" (поторопилась). Удаление программы, перезагрузка ПК и новая установка ничего не изменила, т.к. при повторной установке Malwarebytes' Anti-Malware не было пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO". Не знаю насколько это принципиально.  Во всем остальном следовала Вашим указаниям. При сканировании Malwarebytes обнаружила вредоносную программу. Удалять не стала, т.к. в инструкции не сказано, что нужно удалять. Решила дождаться Ваших коментариев. Прилагаю протоколы программ.

virusinfo_syscure.zip

AdwCleanerR0.txt

info.txt

log.txt

MBAM-log-2014-01-21 (16-47-11).txt

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

не выполнили.

 

 


Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:http://df.ru/~kad/ScanVuln.txt

у вас остался уязвимый софт.

 

то что найдено в MBAM - не критично, если не будете запускать восстановление системы.

MBAM можно (и нужно) деинсталлировать

 

запустите ещё раз AdwCleaner и после проверки (сняв, при необходимости, отметки с элементов Яндекса) - нажмите Clean

новый лог Adwcleaner после перезагрузки приложите.


повторите скрипт из этого поста.

http://forum.kasperskyclub.ru/index.php?showtopic=42292&do=findComment&comment=610836

у Вас слова зловредные задания в планировщике.

 

повторите логи RSIT

Ссылка на комментарий
Поделиться на другие сайты
Kolosova Новичок

Kolosova

Опубликовано
  • Автор
Опубликовано

Добрый день !

Вы правы, я действительно оставила часть уязвимостей. Программа Портал СУФД, с которой мы работаем, некорректно работала при установке последних версий Mozila и Java.Поэтому разработчики Портала СУФД при его установке включили и установку Mozilы и Javы соответствующих версий. Старые версии программ установлены и на других ПК. Сейчас я убрала все уязвимости. Отправила запрос в лабораторию Касперского.

KLAN -1360049164

Протоколы прилагаются.

info.txt

AdwCleanerR2.txt

quarantine.zip

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите папки:





C:\Documents and Settings\Веселова\Application Data\0D0S1L2Z1P1B
C:\Documents and Settings\Веселова\Application Data\DigitalSites

Выполните скрипт:







begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\tasks\At1.job','');
QuarantineFile('C:\WINDOWS\system32\tasks\At1','');
DeleteFile('C:\WINDOWS\tasks\At1.job','32');
DeleteFile('C:\WINDOWS\system32\tasks\At1','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после перезагрузки - новые логи RSIT и AVZ

 

а также

 

Очистите временные файлы
с помощью ATF Cleaner:
• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
• нажмите No, если вы хотите оставить ваши сохраненные пароли
• если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сбросьте кэш DNS



ipconfig /flushdns
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • СтранникМ
      Изменение небезопасных настроек Виндовс в АВЗ
      От СтранникМ
      Здравствуйте уважаемые Хелперы! Проверил свою ОС (Вин 10) на АВЗ. И вот, что кроме прочего обнаружил:
      >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
      >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
      >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
      >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
      >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
      В настройках Виндовс - вроде все в порядке, а АВЗ показало то, что указал выше. Можете подсказать скрипт для АВЗ, который изменил бы эти настройки на безопасные. Заранее благодарю!
    • lex-xel
      Сервер подвергся взлому
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • Max132
      Добавление почтового адреса в спам
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Jamer
      Подмена буфера обмена, если в нем адрес криптокошелька
      От Jamer
      добрый. заметил, что при копировании длинных наборов (в данном случае АПИ , адреса кошельков)  вставляется из буфера эта запись, но внутри часть подменятся выражением "TRC20_Address", например.  qRaq6Y2QfVNdVXK03kkpuTRC20_Addresscxq5lmF5w. если дробить на мелкие части, то копировать и вставить можно. но целиком никак. помогите найти вражину. благодарю.
      FRST.txtAddition.txt
       
      Сообщение от модератора thyrex Перенесено из этой темы
×
×
  • Создать...