Перейти к содержанию
Авторизация  
max91

Автоматически меняется DNS

Рекомендуемые сообщения

Здравствуйте. Та же проблема. Автоматически меняется DNS на:

Предпочитаемый DNS-сервер - 37.10.116.201
Альтернативный DNS-сервер - 8.8.8.8

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Dr.Web CureIt!
hosts | возможно DFH:HOSTS.corrupted | C:\WINDOWS\system32\drivers\etc\hosts - вылечен
MyBabylonTB.exe | Adware.Babylon.15 | C:\Documents and Settings\Temp\MyBabylonTB.exe - перемещен
2. AVZ
Просканировано файлов: 135687, извлечено из архивов: 58727, найдено вредоносных программ 0, подозрений - 0
Очистка диска: Скрипт выполнен без ошибок.
3. HijackThis
Не совсем понял, что именно нужно фиксить.

Как вложить файлы протоколов (логов)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@max91

 

  •  

     

    • Как вложить файлы протоколов (логов)?

    Нажмите на кнопку "Расширенная форма" там будет возможность загрузить и прикрепить лог фалы.


 

 


Не совсем понял, что именно нужно фиксить.

Пока ничего фиксить не надо, просто выложите необходимые логи.

  • virusinfo_syscheck.zip;
  • virusinfo_syscure.zip;
  • log.txt;
  • info.txt.
Изменено пользователем _Strannik_

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте!

 

Закройте все программы

 

Отключите


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\tasks\At2.job','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1090538.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4078765','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','');
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ', 0, 0);
DeleteFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','32');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
DeleteFile('C:\WINDOWS\System32\Tasks\At2','32');
DeleteFile('C:\WINDOWS\System32\Tasks\At1','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4078765','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1090538.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' ');
DeleteDirectory('C:\Program Files\smwdgt');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\DAOyf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

В браузерах удалите расширение SmilesExtensions version 2.1

 

Сделайте новые логи по правилам диагностики. Логи RSIT сделайте за последние 3 месяца.

Изменено пользователем mike 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.

 

это тоже входит в скрипт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отправил "Запрос на исследование вредоносного файла". Вот что пришло:

 

Здравствуйте,

Это сообщение генерируется при автоматическом письме система приема. Отчет содержит информацию о том, какие приговоры на файлы (если таковые имеются в письме) делает Антивирус с последними обновлениями. Письмо будет передано вирус-аналитик. Если у вас есть лицензия Kaspersky Lab клиента, мы рекомендуем вам отправить проверяемых файлов в вирусную Лабораторию, используя ваш профиль: https://my.kaspersky.com/en/support/viruslab Эта опция доступна только для Лицензированных клиентов " Лаборатории Касперского". Если вы не являетесь Лицензированным " Лаборатории Касперского " клиент, пожалуйста, используйте следующую ссылку: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. Эта ссылка отправит файл в вирусную Лабораторию для проверки. Все файлы представлены для сканирования из незарегистрированные адреса проверяются в порядке общей очереди.

At2.job
sxsmgmts.1_q

Эти файлы находятся в процессе.

С Наилучшими Пожеланиями, " Лаборатории Касперского"

 

[KLAN-1421625768]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта перестал работать интернет, пришлось сделать "Восстановление системы" до 19.02.14.

Старые логи были за 1 месяц

Вот новые логи за 3 месяца:

 

 

log.txt

info.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Закройте все программы
 
Отключите
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ');
 DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\DAOyf');     
 DeleteDirectory('C:\Program Files\smwdgt');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate; 
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
 
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ответ на "Запрос на исследование вредоносного файла".

Your attachment was not received. Probably your problem files were cut off on a mail server during delivering. To avoid this problem you need to place your files in password protected archive (password 'infected' without quotes) and send it again.

[KLAN-1426919712]

Отправлял так же как и в первый раз.

HiJackThis - пофиксил все указанные строчки.

 

 

 

MBAM-log-2014-02-23 (19-37-39).txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...