max91 0 Опубликовано 19 февраля, 2014 Share Опубликовано 19 февраля, 2014 Здравствуйте. Та же проблема. Автоматически меняется DNS на: Предпочитаемый DNS-сервер - 37.10.116.201Альтернативный DNS-сервер - 8.8.8.8 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 февраля, 2014 Share Опубликовано 19 февраля, 2014 http://forum.kasperskyclub.ru/index.php?showtopic=31551 Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 20 февраля, 2014 Автор Share Опубликовано 20 февраля, 2014 1. Dr.Web CureIt!hosts | возможно DFH:HOSTS.corrupted | C:\WINDOWS\system32\drivers\etc\hosts - вылеченMyBabylonTB.exe | Adware.Babylon.15 | C:\Documents and Settings\Temp\MyBabylonTB.exe - перемещен2. AVZПросканировано файлов: 135687, извлечено из архивов: 58727, найдено вредоносных программ 0, подозрений - 0Очистка диска: Скрипт выполнен без ошибок.3. HijackThisНе совсем понял, что именно нужно фиксить. Как вложить файлы протоколов (логов)? Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 20 февраля, 2014 Share Опубликовано 20 февраля, 2014 (изменено) @max91, Как вложить файлы протоколов (логов)? Нажмите на кнопку "Расширенная форма" там будет возможность загрузить и прикрепить лог фалы. Не совсем понял, что именно нужно фиксить. Пока ничего фиксить не надо, просто выложите необходимые логи. virusinfo_syscheck.zip; virusinfo_syscure.zip; log.txt; info.txt. Изменено 20 февраля, 2014 пользователем _Strannik_ Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 20 февраля, 2014 Автор Share Опубликовано 20 февраля, 2014 логи info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 20 февраля, 2014 Share Опубликовано 20 февраля, 2014 (изменено) Здравствуйте! Закройте все программы Отключите - Антивирус и Файрвол Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\WINDOWS\tasks\At2.job',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1090538.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4078765',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q',''); QuarantineFileF('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' ', 0, 0); DeleteFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','32'); DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32'); DeleteFile('C:\WINDOWS\Tasks\At1.job','32'); DeleteFile('C:\WINDOWS\Tasks\At2.job','32'); DeleteFile('C:\WINDOWS\System32\Tasks\At2','32'); DeleteFile('C:\WINDOWS\System32\Tasks\At1','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4078765','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\1090538.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray'); DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' '); DeleteDirectory('C:\Program Files\smwdgt'); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' '); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\DAOyf'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) В браузерах удалите расширение SmilesExtensions version 2.1 Сделайте новые логи по правилам диагностики. Логи RSIT сделайте за последние 3 месяца. Изменено 20 февраля, 2014 пользователем mike 1 2 Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 20 февраля, 2014 Автор Share Опубликовано 20 февраля, 2014 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме. это тоже входит в скрипт? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 февраля, 2014 Share Опубликовано 20 февраля, 2014 Конечно Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 21 февраля, 2014 Автор Share Опубликовано 21 февраля, 2014 Отправил "Запрос на исследование вредоносного файла". Вот что пришло: Здравствуйте,Это сообщение генерируется при автоматическом письме система приема. Отчет содержит информацию о том, какие приговоры на файлы (если таковые имеются в письме) делает Антивирус с последними обновлениями. Письмо будет передано вирус-аналитик. Если у вас есть лицензия Kaspersky Lab клиента, мы рекомендуем вам отправить проверяемых файлов в вирусную Лабораторию, используя ваш профиль: https://my.kaspersky.com/en/support/viruslab Эта опция доступна только для Лицензированных клиентов " Лаборатории Касперского". Если вы не являетесь Лицензированным " Лаборатории Касперского " клиент, пожалуйста, используйте следующую ссылку: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. Эта ссылка отправит файл в вирусную Лабораторию для проверки. Все файлы представлены для сканирования из незарегистрированные адреса проверяются в порядке общей очереди. At2.jobsxsmgmts.1_qЭти файлы находятся в процессе.С Наилучшими Пожеланиями, " Лаборатории Касперского" [KLAN-1421625768] Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 21 февраля, 2014 Share Опубликовано 21 февраля, 2014 Новые логи делайте. Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 22 февраля, 2014 Автор Share Опубликовано 22 февраля, 2014 После выполнения скрипта перестал работать интернет, пришлось сделать "Восстановление системы" до 19.02.14. Старые логи были за 1 месяц Вот новые логи за 3 месяца: log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 февраля, 2014 Share Опубликовано 22 февраля, 2014 А логи AVZ? Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 22 февраля, 2014 Автор Share Опубликовано 22 февраля, 2014 Новые логи AVZ virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 февраля, 2014 Share Опубликовано 22 февраля, 2014 Закройте все программы Отключите - Антивирус и Файрвол Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\DAOyf\sxsmgmts.1_q','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray'); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\DAOyf', '*', true, ' '); DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' '); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\DAOyf'); DeleteDirectory('C:\Program Files\smwdgt'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1 Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 23 февраля, 2014 Автор Share Опубликовано 23 февраля, 2014 Ответ на "Запрос на исследование вредоносного файла". Your attachment was not received. Probably your problem files were cut off on a mail server during delivering. To avoid this problem you need to place your files in password protected archive (password 'infected' without quotes) and send it again. [KLAN-1426919712] Отправлял так же как и в первый раз. HiJackThis - пофиксил все указанные строчки. MBAM-log-2014-02-23 (19-37-39).txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.