Автоматически меняется DNS

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\Admin\1090538.exe', 'MBAM: Trojan.Winlock');
QuarantineFile('C:\Documents and Settings\Admin\4208547.exe', 'MBAM: Trojan.FakeMS');
QuarantineFile('C:\Documents and Settings\Admin\4981338.exe', 'MBAM: Trojan.Ransom');
QuarantineFile('C:\Documents and Settings\Admin\6389323.exe', 'MBAM: Trojan.FakeMS');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\dllhost2.exe', 'MBAM: Trojan.Downloader.FC');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\svchost.exe', 'MBAM: Trojan.Downloader.FC');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\mainer_run.exe', 'MBAM: Trojan.Downloader.FC');
QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe', 'MBAM: PUP.Optional.iDatix');
QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe', 'MBAM: PUP.Optional.RuBar.A');
QuarantineFile('C:\WINDOWS\Cleanup.exe', 'MBAM: Trojan.Dropped');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\GEJwEKfHWwr.js', 'MBAM: PUP.Optional.BetterSmile.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\ULlbyRBPguzg.js', 'MBAM: PUP.Optional.BetterSmile.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\VqZDSdEHPLcmo.js', 'MBAM: PUP.Optional.BetterSmile.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\unzipme_miner-files.zip', 'MBAM: Malware.Trace');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\closer.exe', 'MBAM: PUP.Optional.Smilapp');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Удалите в МВАМ все, кроме

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные папки:  5
C:\Documents and Settings\Admin\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\OpenCandy\EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\OpenCandy\OpenCandy_EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
 
Обнаруженные файлы:  48
C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe (PUP.Optional.iDatix) -> Действие не было предпринято.
C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe (PUP.Optional.RuBar.A) -> Действие не было предпринято.
C:\WINDOWS\Cleanup.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\WINDOWS\ResPatch\Clean.exe (Trojan.Dropped) -> Действие не было предпринято.
D:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP97\A0034765.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\Программы\MediaGet.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\Программы\pozhiznennaya_aktivaciya_dlya_NOD_32Unlimited_codNOD_32.rar (PUP.RiskWareTool.CK) -> Действие не было предпринято.
D:\Программы\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\Crack\cdrsuitkg.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Программы\Sony Vegas 7.0a\Crack\Vegas7.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Программы\Sony Vegas Pro 9.0_х32\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Программы\Total Commander 7.03 PowerPack 2.70 rus\Total Commander 7.03 PowerPack 2.70 Rus.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Программы\ВЗЛОМ USB-Modem 3G\Проги и патчи\Программа ускоритель\SpeedConnect_Internet_Accelerator_8.0_Unattended.exe (PUP.SmsPay) -> Действие не было предпринято.
D:\Программы\Феникс\Phoenix.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\ss.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\Программы\PCStudio\keygen Pinnacle Studio Plus 9.3.5 Unlocker.exe (Hacktool.Gen) -> Действие не было предпринято.

[max91]

ответ на "Запрос на исследование вредоносного файла":

 

1090538.exe,
4208547.exe,
4981338.exe,
6389323.exe,
A0023058.exe,
A0025743.exe,
bcqr00001.dat,
bcqr00002.dat,
bcqr00003.dat,
bcqr00004.dat,
bcqr00005.dat,
bcqr00006.dat,
bcqr00007.dat,
bcqr00008.dat,
bcqr00015.dat,
bcqr00016.dat,
bcqr00017.dat,
bcqr00018.dat,
bcqr00019.dat,
bcqr00020.dat,
bcqr00021.dat,
bcqr00022.dat,
bcqr00023.dat,
bcqr00024.dat,
bcqr00025.dat,
bcqr00026.dat,
Cleanup.exe,
GEJwEKfHWwr.js,
ULlbyRBPguzg.js,
avz00014.dta.cgminer.conf,
avz00014.dta.phatk121016Turksv2w128l4.bin,
avz00014.dta.poclbm130302GeForce GTS 250v1w256l4.bin,
avz00014.dta.poclbm130302Intel® HD Graphics 4000gv1w256l4.bin,
VqZDSdEHPLcmo.js

Эти файлы находятся в процессе.

bcqr00009.dat,
bcqr00010.dat,
bcqr00013.dat,
bcqr00014.dat,
dllhost2.exe,
mainer_run.exe - Trojan-Downloader.Win32.Agent.ebks

Новых вредоносных программ, находящихся в этих файлах. Обнаружение будут включены в следующем обновлении. Благодарю вас за вашу помощь.

bcqr00011.dat,
bcqr00012.dat,
bcqr00029.dat,
bcqr00030.dat,
closer.exe,
svchost.exe,
avz00014.dta.diablo130302.cl,
avz00014.dta.diakgcn121016.cl,
avz00014.dta.libcurl.dll,
avz00014.dta.libeay32.dll,
avz00014.dta.libidn-11.dll,
avz00014.dta.librtmp.dll,
avz00014.dta.libssh2.dll,
avz00014.dta.libusb-1.0.dll,
avz00014.dta.phatk121016.cl,
avz00014.dta.poclbm130302.cl,
avz00014.dta.scrypt130302.cl,
avz00014.dta.ssleay32.dll,
avz00014.dta.zlib1.dll

Вредоносный код был найден в этих файлах.

bcqr00027.dat,
bcqr00028.dat,
avz00014.dta.API.class - not-a-virus:NetTool.Win32.Sniffer.dz

Хочу еще уточнить по поводу удаления в MBAM. Удалить все строки, кроме выше описанных?

[mike 1]

 

 

Удалить все строки, кроме выше описанных?

Да.

[max91]

Какие нибудь логи или инструкции еще потребуются?

[mike 1]

Новый лог полного сканирования MBAM после удаления записей. 

[max91]

Новый лог MBAM после удаления записей. 

mbam-log-2014-02-24 (10-11-46).txt

[thyrex]

Проблема решена?

[max91]

Да, больше  адрес не менялся. Спасибо за помощь. 

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Подробнее читайте в этом разделе форума поддержки утилиты.

[max91]

После удаления записей слетела Windows, переустановил все нормально.

SecurityCheck.txt

[Roman_Five]

@max91,

 

 

После удаления записей

каких? 

 

 

Java 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^

 

Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^

[max91]

 

каких?

После удаления записей в MBAM.

[thyrex]

Не удалялось в МВАМ ничего критичного для системы

Поэтому считаю это неудачным стечением обстоятельств