Kolosova 0 Опубликовано 9 января, 2014 Share Опубликовано 9 января, 2014 Уважаемые консультанты, помогите, пожалуйста ! Периодически меняются сетевые настройки: -Предпочитаемый DNS-сервер 37.10.116.202 -Альтернативный DNS-сервер 8.8.8.8 ОС -Windows XP Professional Антивирус Касперский 6.0 для Windows Workstations вирусов не находит. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 января, 2014 Share Опубликовано 9 января, 2014 Для того чтобы вам помогли консультанты, ознакомьтесь с Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 января, 2014 Share Опубликовано 9 января, 2014 @Kolosova, а Ваше имя случайно не Ольга? 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Kolosova 0 Опубликовано 20 января, 2014 Автор Share Опубликовано 20 января, 2014 Здравствуйте! Отвечаю Вам с большим опозданием (была горячая пора). Но все это время я не бездействовала. Выполнила все Ваши рекомендации по ссылке http://forum.kasperskyclub.ru/index.php?showtopic=31551 . Находились вирусы, ПК лечился и была надежда, что может быть, наконец -то, все будет в порядке. Но нет, опять менялся адрес DNS-сервера. Убрала Касперского для рабочих станций, установила Касперский 2013 лицензионный, обновила базы, проверила все, нашлись пару вирусов и уязвимости, все устранила. Проверяла Касперским ежедневно в надежде, что обновлённая сигнатура поможет выявить вирус. Касперский говорил, что все хорошо. Запускала неоднократно утилиты AVZ, RSIT. В течение дня проверяла настройку сетевой карты. Менялась настройка всегда во второй половине дня. Очень жду Ваших рекомендаций. Прикрепляю файлы протоколов. info.txt virusinfo_syscure.zip log.txt virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 20 января, 2014 Share Опубликовано 20 января, 2014 Здравствуйте! Закройте все программы Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\WINDOWS\tasks\At2.job',''); QuarantineFile('C:\WINDOWS\tasks\At3.job',''); QuarantineFile('C:\WINDOWS\system32\tasks\At2',''); QuarantineFile('C:\WINDOWS\system32\tasks\At3',''); DeleteFile('C:\WINDOWS\tasks\At2.job','32'); DeleteFile('C:\WINDOWS\tasks\At3.job','32'); DeleteFile('C:\WINDOWS\system32\tasks\At2','32'); DeleteFile('C:\WINDOWS\system32\tasks\At3','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи RSIT. Цитата Ссылка на сообщение Поделиться на другие сайты
Kolosova 0 Опубликовано 21 января, 2014 Автор Share Опубликовано 21 января, 2014 Добрый день ! Выполнила все Ваши рекомендации. KLAN - 1357712171. Hовые логи RSIT прикрепила. log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 21 января, 2014 Share Опубликовано 21 января, 2014 Пофиксите в Hijackthis: O17 - HKLM\System\CCS\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0866A7-5D02-4362-A028-E25B5E508737}: NameServer = 37.10.116.202,8.8.8.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{000B5E6B-FECD-4C64-B767-C205C34DB5A0}: NameServer = 37.10.116.202,8.8.8.8 сделайте новые логи RSIT Скачайте Malwarebytes' Anti-Malware здесь или здесь.Установите mbam-setup-<current number>.exeОткажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".Полученный лог прикрепите к сообщению. Сделайте лог AdwCleanerhttp://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-160195 Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей: http://df.ru/~kad/ScanVuln.txt Примечания:1. Для работы скрипта требуется антивирусная утилита AVZ версии не ниже 4.32.2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: log. Если это сделать не удалось, то в корень диска C:.3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления.4. Перезагрузите компьютер и повторно выполните скрипт для проверки. Цитата Ссылка на сообщение Поделиться на другие сайты
Kolosova 0 Опубликовано 21 января, 2014 Автор Share Опубликовано 21 января, 2014 Добрый вечер ! Выполнила Ваши инструкции, но с небольшими отступлениями. А именно: При установке Malwarebytes' Anti-Malware не сняла галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO" (поторопилась). Удаление программы, перезагрузка ПК и новая установка ничего не изменила, т.к. при повторной установке Malwarebytes' Anti-Malware не было пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO". Не знаю насколько это принципиально. Во всем остальном следовала Вашим указаниям. При сканировании Malwarebytes обнаружила вредоносную программу. Удалять не стала, т.к. в инструкции не сказано, что нужно удалять. Решила дождаться Ваших коментариев. Прилагаю протоколы программ. virusinfo_syscure.zip AdwCleanerR0.txt info.txt log.txt MBAM-log-2014-01-21 (16-47-11).txt virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 21 января, 2014 Share Опубликовано 21 января, 2014 не выполнили. Выполните в AVZ скрипт для обнаружения наиболее часто используемых уязвимостей:http://df.ru/~kad/ScanVuln.txt у вас остался уязвимый софт. то что найдено в MBAM - не критично, если не будете запускать восстановление системы. MBAM можно (и нужно) деинсталлировать запустите ещё раз AdwCleaner и после проверки (сняв, при необходимости, отметки с элементов Яндекса) - нажмите Clean новый лог Adwcleaner после перезагрузки приложите. повторите скрипт из этого поста. http://forum.kasperskyclub.ru/index.php?showtopic=42292&do=findComment&comment=610836 у Вас слова зловредные задания в планировщике. повторите логи RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Kolosova 0 Опубликовано 22 января, 2014 Автор Share Опубликовано 22 января, 2014 Добрый день ! Вы правы, я действительно оставила часть уязвимостей. Программа Портал СУФД, с которой мы работаем, некорректно работала при установке последних версий Mozila и Java.Поэтому разработчики Портала СУФД при его установке включили и установку Mozilы и Javы соответствующих версий. Старые версии программ установлены и на других ПК. Сейчас я убрала все уязвимости. Отправила запрос в лабораторию Касперского. KLAN -1360049164 Протоколы прилагаются. info.txt AdwCleanerR2.txt quarantine.zip log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 января, 2014 Share Опубликовано 22 января, 2014 удалите папки: C:\Documents and Settings\Веселова\Application Data\0D0S1L2Z1P1B C:\Documents and Settings\Веселова\Application Data\DigitalSites Выполните скрипт: begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\WINDOWS\tasks\At1.job',''); QuarantineFile('C:\WINDOWS\system32\tasks\At1',''); DeleteFile('C:\WINDOWS\tasks\At1.job','32'); DeleteFile('C:\WINDOWS\system32\tasks\At1','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. после перезагрузки - новые логи RSIT и AVZ а также Очистите временные файлыс помощью ATF Cleaner:• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected• нажмите No, если вы хотите оставить ваши сохраненные пароли• если вы используете Opera, нажмите Opera - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли. Сбросьте кэш DNS ipconfig /flushdns Цитата Ссылка на сообщение Поделиться на другие сайты
Kolosova 0 Опубликовано 22 января, 2014 Автор Share Опубликовано 22 января, 2014 Выполнила рекомендации. Протоколы прикрепила. virusinfo_syscure.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 января, 2014 Share Опубликовано 22 января, 2014 всё. Цитата Ссылка на сообщение Поделиться на другие сайты
Kolosova 0 Опубликовано 22 января, 2014 Автор Share Опубликовано 22 января, 2014 Спасибо !!! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 января, 2014 Share Опубликовано 22 января, 2014 Советы и рекомендации после лечения компьютера Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.