Перейти к содержанию

Автоматически меняется DNS


max91

Рекомендуемые сообщения

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\Admin\1090538.exe', 'MBAM: Trojan.Winlock');
QuarantineFile('C:\Documents and Settings\Admin\4208547.exe', 'MBAM: Trojan.FakeMS');
QuarantineFile('C:\Documents and Settings\Admin\4981338.exe', 'MBAM: Trojan.Ransom');
QuarantineFile('C:\Documents and Settings\Admin\6389323.exe', 'MBAM: Trojan.FakeMS');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\dllhost2.exe', 'MBAM: Trojan.Downloader.FC');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\svchost.exe', 'MBAM: Trojan.Downloader.FC');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\mainer_run.exe', 'MBAM: Trojan.Downloader.FC');
QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe', 'MBAM: PUP.Optional.iDatix');
QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe', 'MBAM: PUP.Optional.RuBar.A');
QuarantineFile('C:\WINDOWS\Cleanup.exe', 'MBAM: Trojan.Dropped');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\GEJwEKfHWwr.js', 'MBAM: PUP.Optional.BetterSmile.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\ULlbyRBPguzg.js', 'MBAM: PUP.Optional.BetterSmile.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\VqZDSdEHPLcmo.js', 'MBAM: PUP.Optional.BetterSmile.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\unzipme_miner-files.zip', 'MBAM: Malware.Trace');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\closer.exe', 'MBAM: PUP.Optional.Smilapp');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Удалите в МВАМ все, кроме

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные папки:  5
C:\Documents and Settings\Admin\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\OpenCandy\EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\OpenCandy\OpenCandy_EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
 
Обнаруженные файлы:  48
C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe (PUP.Optional.iDatix) -> Действие не было предпринято.
C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe (PUP.Optional.RuBar.A) -> Действие не было предпринято.
C:\WINDOWS\Cleanup.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\WINDOWS\ResPatch\Clean.exe (Trojan.Dropped) -> Действие не было предпринято.
D:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP97\A0034765.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\Программы\MediaGet.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\Программы\pozhiznennaya_aktivaciya_dlya_NOD_32Unlimited_codNOD_32.rar (PUP.RiskWareTool.CK) -> Действие не было предпринято.
D:\Программы\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\Crack\cdrsuitkg.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Программы\Sony Vegas 7.0a\Crack\Vegas7.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Программы\Sony Vegas Pro 9.0_х32\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Программы\Total Commander 7.03 PowerPack 2.70 rus\Total Commander 7.03 PowerPack 2.70 Rus.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Программы\ВЗЛОМ USB-Modem 3G\Проги и патчи\Программа ускоритель\SpeedConnect_Internet_Accelerator_8.0_Unattended.exe (PUP.SmsPay) -> Действие не было предпринято.
D:\Программы\Феникс\Phoenix.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\Программы\Феникс\Phx_data\Res\ss.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\Программы\PCStudio\keygen Pinnacle Studio Plus 9.3.5 Unlocker.exe (Hacktool.Gen) -> Действие не было предпринято.
Ссылка на комментарий
Поделиться на другие сайты

ответ на "Запрос на исследование вредоносного файла":

 

1090538.exe,
4208547.exe,
4981338.exe,
6389323.exe,
A0023058.exe,
A0025743.exe,
bcqr00001.dat,
bcqr00002.dat,
bcqr00003.dat,
bcqr00004.dat,
bcqr00005.dat,
bcqr00006.dat,
bcqr00007.dat,
bcqr00008.dat,
bcqr00015.dat,
bcqr00016.dat,
bcqr00017.dat,
bcqr00018.dat,
bcqr00019.dat,
bcqr00020.dat,
bcqr00021.dat,
bcqr00022.dat,
bcqr00023.dat,
bcqr00024.dat,
bcqr00025.dat,
bcqr00026.dat,
Cleanup.exe,
GEJwEKfHWwr.js,
ULlbyRBPguzg.js,
avz00014.dta.cgminer.conf,
avz00014.dta.phatk121016Turksv2w128l4.bin,
avz00014.dta.poclbm130302GeForce GTS 250v1w256l4.bin,
avz00014.dta.poclbm130302Intel® HD Graphics 4000gv1w256l4.bin,
VqZDSdEHPLcmo.js

Эти файлы находятся в процессе.

bcqr00009.dat,
bcqr00010.dat,
bcqr00013.dat,
bcqr00014.dat,
dllhost2.exe,
mainer_run.exe - Trojan-Downloader.Win32.Agent.ebks

Новых вредоносных программ, находящихся в этих файлах. Обнаружение будут включены в следующем обновлении. Благодарю вас за вашу помощь.

bcqr00011.dat,
bcqr00012.dat,
bcqr00029.dat,
bcqr00030.dat,
closer.exe,
svchost.exe,
avz00014.dta.diablo130302.cl,
avz00014.dta.diakgcn121016.cl,
avz00014.dta.libcurl.dll,
avz00014.dta.libeay32.dll,
avz00014.dta.libidn-11.dll,
avz00014.dta.librtmp.dll,
avz00014.dta.libssh2.dll,
avz00014.dta.libusb-1.0.dll,
avz00014.dta.phatk121016.cl,
avz00014.dta.poclbm130302.cl,
avz00014.dta.scrypt130302.cl,
avz00014.dta.ssleay32.dll,
avz00014.dta.zlib1.dll

Вредоносный код был найден в этих файлах.

bcqr00027.dat,
bcqr00028.dat,
avz00014.dta.API.class - not-a-virus:NetTool.Win32.Sniffer.dz

Хочу еще уточнить по поводу удаления в MBAM. Удалить все строки, кроме выше описанных?

Ссылка на комментарий
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Подробнее читайте в этом разделе форума поддержки утилиты.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

@max91,

 

 


После удаления записей

каких?  :oh:

 

 

Java 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^

 

Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vadim Nube
      От Vadim Nube
      Здравствуйте! Помогите пожалуйста. Adwcleaner - не помогает в решении проблемы.
      В браузер Yandex автоматически устанавливается расширение "Adblock Plus" - который не является оригинальным расширением. Данное расширение маскируется под него.
      Скачал программу FRST64, отчеты приложил.
      К слову я слабый пользователь ПК.
      Shortcut.txt Addition.txt FRST.txt
    • Ig0r
      От Ig0r
      Накапливай баллы — меняй на лицензии и сувениры!
      В клубе «Лаборатории Касперского» действует бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!». Получайте баллы (BAL) за свою активность в клубе, накапливайте и меняйте их в магазине на лицензии для продуктов «Лаборатории Касперского» и эксклюзивные сувениры с символикой компании с бесплатной доставкой!
      Кто может участвовать в бонусной программе?
       
      За что и сколько баллов можно получить?


      В какие сроки начисляются баллы?

      За что баллы могут снять?

      Где можно посмотреть количество накопленных баллов и есть ли у них срок действия?

      Предусмотрены ли в магазине скидки и как их получить?

      Что делать, если очень хочется получить лицензию или сувенир, а баллов не хватает?

      Где узнать подробности о характеристиках сувениров?

      Как сделать заказ и узнать, правильно ли он оформлен?

      Где я могу проверить статус заказа?

      Сколько стоит доставка и в какие регионы и страны она возможна? Есть ли территориальные ограничения на доставку сувениров?

      Есть ли минимальный заказ?

      В каких случаях сувенир может быть заменён или не отправлен вовсе?

      Какими способами можно получить заказ?

      Какие сроки доставки заказа?

      Как правильно принять посылку и что делать, если они повреждены?

      Где ещё можно потратить баллы, кроме магазина?

      Можно ли расплатиться за заказ клабами, накопленными в рамках участия в рейтинговой системе мотивации участников клуба?

      Заключительные положения
       
    • BlueZer
      От BlueZer
      Данные расширения не имеют ничего общего с оригинальным adblock plus, пример приведен на скриншоте.
      Результат работы AutoLogger также прикрепляю

      CollectionLog-2024.09.02-15.59.zip
    • Marcus
    • ska79
      От ska79
      Хочу попробовать сделать на базе старого смартфона свой dns сервер (в локальной сети) как это организовать? В сети ничего не нашёл 
×
×
  • Создать...