DNSUnlocker

[qwerty147]

Добрый день!

 

Каким-то образом установился DNSUnlocker. Пытался самостоятельно его удалить из папки Program Files (x86), но это успехов не принесло. Программа все равно осталась и продолжает мешать в работе с интернетом.

 

Установлен KIS 2016. Он видит DNSUnlocker, лечит, но после перезагрузки все повторятся вновь! Проверил вчера компьютер KVRT 2015, никаких вирусов или угроз не было обнаружено :-(((

 

Пользуюсь Опера 38.0 и Хромом.

 

Ниже приложен LOG файл из AVZ (пробовал задать свой вопрос на этом форуме https://forum.kaspersky.com/ но он перенаправляет на ваш).

 

Перезалил LOG файл согласно правилам форума

 

Спасибо за понимание и помощь!

CollectionLog-2016.06.28-19.41.zip

Изменено 28 июня, 2016 пользователем qwerty147

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[qwerty147]

Порядок оформления запроса о помощи

LOG файл перезалил.

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\dac6e08a\9ed1fefd.dll','');
 DeleteFile('C:\PROGRA~3\dac6e08a\9ed1fefd.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\{944DDB31-BBCD-1E0C-B80B-CDC37497B978}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DE592C2-7FE4-4CD3-BDAB-5D7B2C0158C2}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{896964FD-2705-4944-AA94-E4D8CBC64AE3}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6EFEDDD-1B2A-4D03-B1D9-8E893DE731AB}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[qwerty147]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\dac6e08a\9ed1fefd.dll','');
 DeleteFile('C:\PROGRA~3\dac6e08a\9ed1fefd.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\{944DDB31-BBCD-1E0C-B80B-CDC37497B978}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DE592C2-7FE4-4CD3-BDAB-5D7B2C0158C2}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{896964FD-2705-4944-AA94-E4D8CBC64AE3}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6EFEDDD-1B2A-4D03-B1D9-8E893DE731AB}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

 

Я сделал все - Выполнил скрипты, пофиксил, отправил почту. Ответа пока не получил. Прикладываю новый лог

к сожалению проблема пока не решена. Продолжается отсыл на сторонние сайты.

вот ответ на письмо

 

файл карантина DNSUnlocker [KLAN-4530293721]

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

quarantine.zip

 

Вредоносный код в файле не обнаружен.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

 

 

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

 

quarantine.zip

 

No malicious code was found in this file.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

CollectionLog-2016.06.28-21.14.zip

Изменено 28 июня, 2016 пользователем qwerty147

[thyrex]

Сделайте лог полного сканирования МВАМ

[qwerty147]

Сделайте лог полного сканирования МВАМ

Сделал, и чет приуныл! :-( 344 угрозы и проблемы :-(

mbam.txt

[thyrex]

Удалите в МВАМ все найденное

[qwerty147]

Удалите в МВАМ все найденное

 

 

СПАСИБО ОГРОМНОЕ!!!!! Все ушло, сайты открываются нормально!! никакой рекламы!

 

Спасибо! Спасибо! Спасибо!

 

 

Р.S. Подскажите, мои дальнейшие действия - удалить старые точки восстановления, сделать новую (сегодняшнюю), удалять ли МВАМ?

[thyrex]

Удалите МВАМ.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[qwerty147]

Удалите МВАМ.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

Просканировал. Внизу архив с логами

LOG_FarbarRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Toolbar: HKU\S-1-5-21-1395423641-3956544293-1321204240-1000 -> No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} -  No File
Toolbar: HKU\S-1-5-21-1395423641-3956544293-1321204240-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF Extension: No Name - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\FFExt\light_plugin_firefox [not found]
CHR Plugin: (Native Client) - C:\Users\1\AppData\Local\Google\Chrome\Application\51.0.2704.103\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\1\AppData\Local\Google\Chrome\Application\51.0.2704.103\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Users\1\AppData\Local\Google\Chrome\Application\51.0.2704.103\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U32) - C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 6.0.320.5) - C:\Windows\SysWOW64\npdeployJava1.dll => No File
CHR Plugin: (Google Update) - C:\Users\1\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Plugin: (TVU Web Player for FireFox) - C:\Windows\system32\TVUAx\npTVUAx.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\3.0.40624.0\npctrl.dll => No File
Task: {054DF2A3-7BA5-4491-88B0-78576628DAB0} - \{6FF23C06-3E34-7BAE-544E-73ED023087E3} -> No File <==== ATTENTION
Task: {40D4A46A-6D71-461E-BDA2-0EB96BA2E108} - \{944DDB31-BBCD-1E0C-B80B-CDC37497B978} -> No File <==== ATTENTION
Task: {865552D4-CE25-472C-9E6E-C9D1729B4803} - \{08080547-7878-0F7E-0D11-7E7E7F78110D} -> No File <==== ATTENTION
Task: {AA1DE23B-08C3-451B-BA37-AF04423397DD} - \{27F191DF-0850-A202-819F-4E67A216F68F} -> No File <==== ATTENTION
Task: {E8C6DCDF-BEA5-46E7-B911-5B6BF409D174} - \{81977AE9-FA94-40DF-B2D5-CA4A11371142} -> No File <==== ATTENTION
Task: {ED906725-97B2-41F6-BDE4-8404D720575A} - \{993B83ED-491D-4CAA-B268-681BA8376521} -> No File <==== ATTENTION
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F730836D-F347-433E-8B14-C6FA351EF880}\SupportTasks\1\Поддержка.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F730836D-F347-433E-8B14-C6FA351EF880}\SupportTasks\0\Игры от Майкрософт.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{98C6C309-C90D-4BDA-9053-16F493D67826}\SupportTasks\1\Поддержка.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{98C6C309-C90D-4BDA-9053-16F493D67826}\SupportTasks\0\Игры от Майкрософт.lnk
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Портал Mail.Ru.lnk
AlternateDataStreams: C:\Users\1\AppData\Local\SfTNG0qFxv:ybrufJIiTyYtiaETOgiefHRuR [2450]
AlternateDataStreams: C:\Users\1\AppData\Local\Temp:qNvWulIh3O5Zxo7bl99jPl [2054]
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [133]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [133]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[qwerty147]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Toolbar: HKU\S-1-5-21-1395423641-3956544293-1321204240-1000 -> No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} -  No File
Toolbar: HKU\S-1-5-21-1395423641-3956544293-1321204240-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF Extension: No Name - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 16.0.0\FFExt\light_plugin_firefox [not found]
CHR Plugin: (Native Client) - C:\Users\1\AppData\Local\Google\Chrome\Application\51.0.2704.103\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\1\AppData\Local\Google\Chrome\Application\51.0.2704.103\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Users\1\AppData\Local\Google\Chrome\Application\51.0.2704.103\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U32) - C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll => No File
CHR Plugin: (Java Deployment Toolkit 6.0.320.5) - C:\Windows\SysWOW64\npdeployJava1.dll => No File
CHR Plugin: (Google Update) - C:\Users\1\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Plugin: (TVU Web Player for FireFox) - C:\Windows\system32\TVUAx\npTVUAx.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\3.0.40624.0\npctrl.dll => No File
Task: {054DF2A3-7BA5-4491-88B0-78576628DAB0} - \{6FF23C06-3E34-7BAE-544E-73ED023087E3} -> No File <==== ATTENTION
Task: {40D4A46A-6D71-461E-BDA2-0EB96BA2E108} - \{944DDB31-BBCD-1E0C-B80B-CDC37497B978} -> No File <==== ATTENTION
Task: {865552D4-CE25-472C-9E6E-C9D1729B4803} - \{08080547-7878-0F7E-0D11-7E7E7F78110D} -> No File <==== ATTENTION
Task: {AA1DE23B-08C3-451B-BA37-AF04423397DD} - \{27F191DF-0850-A202-819F-4E67A216F68F} -> No File <==== ATTENTION
Task: {E8C6DCDF-BEA5-46E7-B911-5B6BF409D174} - \{81977AE9-FA94-40DF-B2D5-CA4A11371142} -> No File <==== ATTENTION
Task: {ED906725-97B2-41F6-BDE4-8404D720575A} - \{993B83ED-491D-4CAA-B268-681BA8376521} -> No File <==== ATTENTION
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F730836D-F347-433E-8B14-C6FA351EF880}\SupportTasks\1\Поддержка.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F730836D-F347-433E-8B14-C6FA351EF880}\SupportTasks\0\Игры от Майкрософт.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{98C6C309-C90D-4BDA-9053-16F493D67826}\SupportTasks\1\Поддержка.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{98C6C309-C90D-4BDA-9053-16F493D67826}\SupportTasks\0\Игры от Майкрософт.lnk
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Портал Mail.Ru.lnk
AlternateDataStreams: C:\Users\1\AppData\Local\SfTNG0qFxv:ybrufJIiTyYtiaETOgiefHRuR [2450]
AlternateDataStreams: C:\Users\1\AppData\Local\Temp:qNvWulIh3O5Zxo7bl99jPl [2054]
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [133]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [133]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

 

Сделал

Fixlog.txt

[thyrex]

На этом все

[qwerty147]

На этом все

 

 

Еще раз большое СПАСИБО!!!! Вы очень помогли!!!!