Перейти к содержанию

Изменение адреса DNS-сервера


Kolosova

Рекомендуемые сообщения

Уважаемые консультанты, помогите, пожалуйста ! 

Периодически меняются сетевые настройки:

  -Предпочитаемый DNS-сервер    37.10.116.202

  -Альтернативный  DNS-сервер    8.8.8.8

ОС -Windows XP Professional

Антивирус Касперский 6.0 для Windows Workstations вирусов не находит.

         

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Здравствуйте!

Отвечаю Вам с большим опозданием (была горячая пора). Но все это время я не бездействовала. Выполнила все Ваши рекомендации по ссылке http://forum.kasperskyclub.ru/index.php?showtopic=31551 . Находились вирусы, ПК лечился и была надежда, что может быть, наконец -то, все будет в порядке. Но нет, опять менялся адрес DNS-сервера. Убрала Касперского для рабочих станций, установила Касперский 2013 лицензионный, обновила базы, проверила все, нашлись пару вирусов и уязвимости, все устранила. Проверяла Касперским ежедневно в надежде, что обновлённая сигнатура поможет выявить вирус. Касперский говорил, что все хорошо. Запускала неоднократно утилиты AVZ, RSIT. В течение дня проверяла настройку сетевой карты. Менялась настройка всегда во второй половине дня. 

 

Очень жду Ваших рекомендаций.

 

Прикрепляю файлы протоколов.

info.txt

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\tasks\At2.job','');
 QuarantineFile('C:\WINDOWS\tasks\At3.job','');
 QuarantineFile('C:\WINDOWS\system32\tasks\At2','');
 QuarantineFile('C:\WINDOWS\system32\tasks\At3','');     
 DeleteFile('C:\WINDOWS\tasks\At2.job','32');     
 DeleteFile('C:\WINDOWS\tasks\At3.job','32');
 DeleteFile('C:\WINDOWS\system32\tasks\At2','32');     
 DeleteFile('C:\WINDOWS\system32\tasks\At3','32');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;       
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи RSIT. 

 

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в Hijackthis:



O17 - HKLM\System\CCS\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0866A7-5D02-4362-A028-E25B5E508737}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8

сделайте новые логи RSIT

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

 

 

 

Сделайте лог AdwCleaner
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-160195

 

 

Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:

http://df.ru/~kad/ScanVuln.txt

 

Примечания:
1. Для работы скрипта требуется антивирусная утилита AVZ версии не ниже 4.32.
2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: log. Если это сделать не удалось, то в корень диска C:.
3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
4. Перезагрузите компьютер и повторно выполните скрипт для проверки.

 

Ссылка на комментарий
Поделиться на другие сайты

Добрый вечер !

Выполнила Ваши инструкции, но с небольшими отступлениями. А именно: При установке Malwarebytes' Anti-Malware не сняла галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO" (поторопилась). Удаление программы, перезагрузка ПК и новая установка ничего не изменила, т.к. при повторной установке Malwarebytes' Anti-Malware не было пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO". Не знаю насколько это принципиально.  Во всем остальном следовала Вашим указаниям. При сканировании Malwarebytes обнаружила вредоносную программу. Удалять не стала, т.к. в инструкции не сказано, что нужно удалять. Решила дождаться Ваших коментариев. Прилагаю протоколы программ.

virusinfo_syscure.zip

AdwCleanerR0.txt

info.txt

log.txt

MBAM-log-2014-01-21 (16-47-11).txt

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

не выполнили.

 

 


Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:http://df.ru/~kad/ScanVuln.txt

у вас остался уязвимый софт.

 

то что найдено в MBAM - не критично, если не будете запускать восстановление системы.

MBAM можно (и нужно) деинсталлировать

 

запустите ещё раз AdwCleaner и после проверки (сняв, при необходимости, отметки с элементов Яндекса) - нажмите Clean

новый лог Adwcleaner после перезагрузки приложите.


повторите скрипт из этого поста.

http://forum.kasperskyclub.ru/index.php?showtopic=42292&do=findComment&comment=610836

у Вас слова зловредные задания в планировщике.

 

повторите логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

Добрый день !

Вы правы, я действительно оставила часть уязвимостей. Программа Портал СУФД, с которой мы работаем, некорректно работала при установке последних версий Mozila и Java.Поэтому разработчики Портала СУФД при его установке включили и установку Mozilы и Javы соответствующих версий. Старые версии программ установлены и на других ПК. Сейчас я убрала все уязвимости. Отправила запрос в лабораторию Касперского.

KLAN -1360049164

Протоколы прилагаются.

info.txt

AdwCleanerR2.txt

quarantine.zip

log.txt

Ссылка на комментарий
Поделиться на другие сайты

удалите папки:





C:\Documents and Settings\Веселова\Application Data\0D0S1L2Z1P1B
C:\Documents and Settings\Веселова\Application Data\DigitalSites

Выполните скрипт:







begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\tasks\At1.job','');
QuarantineFile('C:\WINDOWS\system32\tasks\At1','');
DeleteFile('C:\WINDOWS\tasks\At1.job','32');
DeleteFile('C:\WINDOWS\system32\tasks\At1','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после перезагрузки - новые логи RSIT и AVZ

 

а также

 

Очистите временные файлы
с помощью ATF Cleaner:
• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
• нажмите No, если вы хотите оставить ваши сохраненные пароли
• если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сбросьте кэш DNS



ipconfig /flushdns
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • website9527633
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • slot9543
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...