Автоматически меняется DNS

[max91]

Здравствуйте. Та же проблема. Автоматически меняется DNS на:

Предпочитаемый DNS-сервер - 37.10.116.201
Альтернативный DNS-сервер - 8.8.8.8

[thyrex]

http://forum.kasperskyclub.ru/index.php?showtopic=31551

[max91]

1. Dr.Web CureIt!
hosts | возможно DFH:HOSTS.corrupted | C:\WINDOWS\system32\drivers\etc\hosts - вылечен
MyBabylonTB.exe | Adware.Babylon.15 | C:\Documents and Settings\Temp\MyBabylonTB.exe - перемещен
2. AVZ
Просканировано файлов: 135687, извлечено из архивов: 58727, найдено вредоносных программ 0, подозрений - 0
Очистка диска: Скрипт выполнен без ошибок.
3. HijackThis
Не совсем понял, что именно нужно фиксить.

Как вложить файлы протоколов (логов)?

[_Strannik_]

@max91, 

 

•  

   

  • Как вложить файлы протоколов (логов)?

  Нажмите на кнопку "Расширенная форма" там будет возможность загрузить и прикрепить лог фалы.

 

 

Не совсем понял, что именно нужно фиксить.

Пока ничего фиксить не надо, просто выложите необходимые логи.

• virusinfo_syscheck.zip;
• virusinfo_syscure.zip;
• log.txt;
• info.txt.

Изменено 20 февраля, 2014 пользователем _Strannik_

[max91]

логи

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[mike 1]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\WINDOWS\tasks\At2.job','');          

 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1090538.exe','');

 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4078765','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','');

 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ', 0, 0);  

 DeleteFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','32');

 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');

 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');

 DeleteFile('C:\WINDOWS\Tasks\At2.job','32'); 

 DeleteFile('C:\WINDOWS\System32\Tasks\At2','32');

 DeleteFile('C:\WINDOWS\System32\Tasks\At1','32');     

 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4078765','32');

 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1090538.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');   

 DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' ');

 DeleteDirectory('C:\Program Files\smwdgt');   

 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ');

 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\DAOyf');     

BC_ImportAll;

ExecuteSysClean;

ExecuteWizard('SCU', 2, 3, true);

BC_Activate;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

В браузерах удалите расширение SmilesExtensions version 2.1

 

Сделайте новые логи по правилам диагностики. Логи RSIT сделайте за последние 3 месяца.

Изменено 20 февраля, 2014 пользователем mike 1

[max91]

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.

 

это тоже входит в скрипт?

[thyrex]

Конечно

[max91]

Отправил "Запрос на исследование вредоносного файла". Вот что пришло:

 

Здравствуйте,

Это сообщение генерируется при автоматическом письме система приема. Отчет содержит информацию о том, какие приговоры на файлы (если таковые имеются в письме) делает Антивирус с последними обновлениями. Письмо будет передано вирус-аналитик. Если у вас есть лицензия Kaspersky Lab клиента, мы рекомендуем вам отправить проверяемых файлов в вирусную Лабораторию, используя ваш профиль: https://my.kaspersky.com/en/support/viruslab Эта опция доступна только для Лицензированных клиентов " Лаборатории Касперского". Если вы не являетесь Лицензированным " Лаборатории Касперского " клиент, пожалуйста, используйте следующую ссылку: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. Эта ссылка отправит файл в вирусную Лабораторию для проверки. Все файлы представлены для сканирования из незарегистрированные адреса проверяются в порядке общей очереди.

At2.job
sxsmgmts.1_q

Эти файлы находятся в процессе.

С Наилучшими Пожеланиями, " Лаборатории Касперского"

 

[KLAN-1421625768]

[mike 1]

Новые логи делайте.

[max91]

После выполнения скрипта перестал работать интернет, пришлось сделать "Восстановление системы" до 19.02.14.

Старые логи были за 1 месяц

Вот новые логи за 3 месяца:

 

 

log.txt

info.txt

[mike 1]

А логи AVZ? 

[max91]

Новые логи AVZ

virusinfo_syscheck.zip

virusinfo_syscure.zip

[mike 1]

Закройте все программы

 

Отключите

- Антивирус и Файрвол

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ');
 DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\DAOyf');     
 DeleteDirectory('C:\Program Files\smwdgt');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate; 
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

[max91]

Ответ на "Запрос на исследование вредоносного файла".

Your attachment was not received. Probably your problem files were cut off on a mail server during delivering. To avoid this problem you need to place your files in password protected archive (password 'infected' without quotes) and send it again.

[KLAN-1426919712]

Отправлял так же как и в первый раз.

HiJackThis - пофиксил все указанные строчки.

 

 

 

MBAM-log-2014-02-23 (19-37-39).txt