DNSUnlocker

[Tatiana Yudakova]

Постоянно выскакивает реклама в браузере с надписью DNSUnlocker. Никак не получается удалить эту программу из системы.

Появилась реклама после скачивания программы из интернета, но какой именно сказать не могу.

Благодарю за помощь!

CollectionLog-2016.04.22-21.09.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\ddc06abf\e10d8a23.dll','');
 DeleteFile('C:\PROGRA~3\ddc06abf\e10d8a23.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{618F74A0-5992-0CC3-C3F8-BCC5D82B9E37}','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{096728a2-a79f-47fc-ba5f-2ecb767b05ad}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{1f7ff024-1b8f-412d-95c0-781aa29c1f1d}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{38501b60-a505-498a-a563-313dada90960}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{83bb731e-5d7f-4f4d-94f1-b5329f600bb1}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{8d67d621-a711-4916-bd09-1df8491a1c81}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{096728a2-a79f-47fc-ba5f-2ecb767b05ad}: NameServer = 82.163.142.7 95.211.158.134
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.142.7 95.211.158.134

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Tatiana Yudakova]

[KLAN-4163807940]

 

No malicious code was found in this file.

Отправляю новые логи.

Рекламы стало в разы меньше, но на одном из сайтов опять появилась. В приложениях по-прежнему сидит программа DNSUnlocker и никак не удаляется...

CollectionLog-2016.04.26-12.10.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Tatiana Yudakova]

Отправляю лог MBAM

mbam.txt

[thyrex]

Удалите в МВАМ все найденное

[Tatiana Yudakova]

Все удалила. DNSUnlocker удалился, реклама больше не появляется.

 

Спасибо огромное за помощь!!!

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Tatiana Yudakova]

Отправляю логи FRST

FRST.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Tcpip\..\Interfaces\{096728a2-a79f-47fc-ba5f-2ecb767b05ad}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{38501b60-a505-498a-a563-313dada90960}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{83bb731e-5d7f-4f4d-94f1-b5329f600bb1}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{8d67d621-a711-4916-bd09-1df8491a1c81}: [DhcpNameServer] 82.163.142.7
BHO: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => not found
FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore => not found
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => not found
Task: {09938032-BB5D-4139-94AF-DBE611E33F50} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {0CF8A1B3-D2A9-4053-8822-0BCEADB178D4} - \{618F74A0-5992-0CC3-C3F8-BCC5D82B9E37} -> No File <==== ATTENTION
Task: {0E528094-9409-48CE-ADD3-E7DFD6794003} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {367A3015-C0D2-4BF4-8D5A-F8641DF0D71E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {51ACCCE7-F211-410B-9419-915947082579} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {70DA1B4B-49CF-4465-95CB-722D15288E59} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {70EF0EF1-D574-4DDC-99AB-F20C6A5FFA49} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {86DE6128-7C6B-4725-B9FF-0AAC6C5FF477} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {94F64B25-4189-40BE-AE9D-6B26A54E5205} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B783EE19-A310-4B4B-9C4A-A86EDC48B083} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {C4D0C787-FCCF-4E25-8478-0271C1B9D3BA} - \UpdateTask -> No File <==== ATTENTION
Task: {D011F3B5-54B1-495F-9A08-B6F62B033102} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {EE41F99B-30E4-4BD0-9A6E-0B2DD50CDCBD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[Tatiana Yudakova]

Отправляю fixlog

Fixlog.txt

[thyrex]

На этом все

[Tatiana Yudakova]

Спасибо огромнейшее за помощь!!!