Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Автоматическое обновление DNS

kudr

Автор kudr
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kudr Новичок

kudr

Опубликовано
Опубликовано

Здравствуйте! Компьютер не мой, а брата. он попросил очистить его от вирусов, скачал  Spyhunter он удалил бОльшую часть рекламы и всякой другой фигни. Из видимого остались автоматическое обновление ДНС (без моего ведома, замечает это спайхантер) и baidu (но вроде ничего не делает) 

Прикладываю логи, заранее спасибо!

CollectionLog-2014.12.15-17.40.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('BDEnhanceBoost', 4);
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('BDMWrench', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0003', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('BDSGRTP', 4);
 StopService('BDEnhanceBoost');
 StopService('bd0002');
 StopService('BDSafeBrowser');
 StopService('BDMWrench');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0003');
 StopService('bd0001');
 QuarantineFile('C:\DOCUME~1\Video\LOCALS~1\Temp\F494690D.sys','');
 QuarantineFile('c:\documents and settings\video\local settings\temp\EFCF1229.sys','');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 QuarantineFile('C:\IEXPLORE.bat','');
 QuarantineFile('C:\Documents and Settings\Video\Application Data\ZZima\zzima_loader\nloader.exe','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys','32');
 DeleteFile('C:\Documents and Settings\Video\Application Data\ZZima\zzima_loader\nloader.exe','32');
 DeleteFile('C:\Documents and Settings\Video\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe','32');
 DeleteFile('C:\IEXPLORE.bat','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qloader','command');
 DeleteService('BDEnhanceBoost');
 DeleteService('bd0002');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMWrench');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0003');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text=
O2 - BHO: ie2.BHO - {40aef60b-a6f8-4389-9003-a683dd75b850} - mscoree.dll (file missing)
 
Сделайте новые логи по правилам.
 
исправьте ярлыки в FixerBro

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500

Ссылка на комментарий
Поделиться на другие сайты
kudr Новичок

kudr

Опубликовано
  • Автор
Опубликовано

Все сделал.

Скрипт выполнил, карантин отправил - жду ответа от Касперского.

Пофиксил все что Вы написал в HijackThis.

Запустил FixerBro он нашел 1 ярлык и не смог его исправить, лог прилагаю.

 

Появилась проблема домашней страницы и активации windows.


http://reletex.net/вот домашняя страница...

CollectionLog-2014.12.15-19.07.zip

FixerBro_20141215 (2).txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

пофиксите в Hijackthis:

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text=

в AVZ - файл - Мастер поиска и устранения проблем - системные проблемы - поиск - исправьте

>> Модифицированы префиксы протоколов

очистите ярлыки с помощью ClearLNK

http://safezone.cc/resources/clearlnk-udalenie-parametrov-zapuska-u-jarlykov.102/

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 
 
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1
Ссылка на комментарий
Поделиться на другие сайты
kudr Новичок

kudr

Опубликовано
  • Автор
Опубликовано

все сделал, домашняя страница по прежнему тот сайт злоумышлинников стоит..

 


все сделал, домашняя страница по прежнему тот сайт злоумышлинников стоит..

 

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Переместите файл c:\documents and settings\Video\Рабочий стол\ComboFix.exe в корень диска С

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С




KillAll::

 

File::

c:\windows\system32\DRIVERS\BDMWrench.sys

C:\IЕХPLОRЕ.bаt.exe

c:\windows\system32\DRIVERS\bd0001.sys

c:\windows\system32\DRIVERS\bd0002.sys

c:\windows\system32\DRIVERS\bd0003.sys

c:\windows\system32\DRIVERS\bd0004.sys

C:\cdtE.tmp

 

Driver::

BD0001

BD0002

BLOCKANDSURF

bd0001

bd0002

BDMWrench

bd0003

bd0004

 

NetSvc::

 

Folder::

c:\documents and settings\All Users\Application Data\Baidu

c:\program files\ver8BlockAndSurf

c:\documents and settings\Video\Application Data\ZZima

c:\documents and settings\Video\Application Data\Baidu

c:\documents and settings\LocalService\Application Data\Baidu

 

Registry::

 

FileLook::

 

DirLook::

 

RegLock::

 


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

blogentry-9410-1358286219.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

отправьте в карантин в MBAM всё, кроме:

Trojan.Downloader, C:\Program Files\Adobe\Adobe Premiere Pro CS4\adobe.premiere.pro.cs4.4.0.0.0-nope.exe, , [db42d78c3f3db482aca5aac4ec14ca36], 

новый лог приложите.

 

удалите всё найденное в AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

Ссылка на комментарий
Поделиться на другие сайты
kudr Новичок

kudr

Опубликовано
  • Автор
Опубликовано

Спайхантер говорит при перезагрузке видноуса, что кто то меняет днс. и домашняя страница всегда ставится этот вредоносный сайт

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • infobez_bez
      Автоматическое перемещение устройства между группами администрирования
      Автор infobez_bez
      Здравствуйте
      интересует такой вопрос:
      Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
      Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.
       
      В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).

      Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.
       
      Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".

      В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.
       
      Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
      Используется KSC 14.2 для Windows
    • linnur
      Обновление KES оффлайн
      Автор linnur
      Здравствуйте имеется KES 11 версии, необходимо обновить на версии 12 на ос виндовс. Проблема заключается в том, что большое чисто компьютеров локальные (без сети) и обновление получают через флешку (через утилиту KUU). Подскажите, возможно ли обновление версии без ручного обхода всех ПК, а автоматически с правами пользователя?
    • vit451
      установка и обновление ПО средствами KSC
      Автор vit451
      Добрый день.
      KSC 15.1
       
      Как то не могу понять логику как быстро обновлять ПО , ранее установленное средствами KSC.
       
      Например, ставлю клиента Битрикс.
      Для установки делаю задачу, в параметрах задачи выбираю устройства из списка управляемых. Стартую, все ок, программа установилась. 
       
      Позже выходит новая версия, надо обновится. 
      По идее у меня уже есть задача с списком машин для установки, надо просто внутри задачи заменить пакет для установки. Но в настройках задачи это сделать невозможно. 
       
      Есть группы, на которые можно повесить установку ПО. Но устройство может состоять только в одной группе, нельзя по аналогии с GPO добавить устройство в множество групп, на которые в свою очередь повесить установку ПО. 
       
      Сейчас я для обновления ПО экспортирую список устройств в файл, далее делаю новую задачу, выбираю инсталляционный пакет для установки,а устройства импортирую из файла. 
      Но должен быть явно более простой путь. 
       
    • Виталий Чебыкин
      Обновление продуктов KES
      Автор Виталий Чебыкин
      Добрый день!
      Может вопрос уже решался ранее но ответа на него я не нашел. В домене есть множество клиентов KES при обновлении который с версии 12.3 - 12.8. На множестве клиентах вышла ошибка при обновлении следующая: Kaspersky Endpoint Security для Windows (12.8.0) (12.8.0.505): Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Установка Kaspersky Endpoint Security для Windows не может быть выполнена, так как на компьютере установлено стороннее приложение: Eset Endpoint Antivirus 5.0.2214.7. Чтобы выполнить установку Kaspersky Endpoint Security для Windows, необходимо удалить стороннее приложение стандартными средствами Microsoft Windows или иными способами.)
      Подскажите почему сам инсталятор не удаляет Eset Endpoint Antivirus сам если при создании задачи в KSC я выбрал удалить все не совместимые продукты? Данные УЗ при инсталляции есть домена и локального админа. При этом если устанавливаешь вручную он дает поставить. Да и до этого стояла версия другая 12.3. Можно как то выяснить что конкретно KES проверяет при установке?
    • Илья Н.
      Обновление KSC с версии 12.2.0.4376 до версии 14.2
      Автор Илья Н.
      Добрый день!
      Планирую произвести обновление KSC с версии 12.2.0.4376 до версии 14.2, используется KES версии 11.10.0. База данных расположена на отдельном сервере, используется Microsoft SQL Server 2008 R2. 
      До этого KSC не обновлял, прочитал оф руководство по обновлению, вроде бы всё понятно. Есть ли какие нибудь нюансы при выполнении обновления? 
×
×
  • Создать...