-
Junior Member
- Вес репутации
- 43
79991122333 и перенаправления на analystics.google.com
Путь к файлу hosts в реестре в порядке.
сам hosts в порядке. без лишних трансляций.
по компьютеру прошлась avz и cureit. результат = 0.
по авторанс и hjackthis ничего подозрительного.
При открытии любого броузера (IE, ff, opera, chrome) срабатывает nod32 о том, что адрес analystics.google.com/phpbb/.. заблокирова, хотя я и не думал заходить на подобные ссылки. ни в закладках, ни домашней страницей такие адреса не стоят.
удаление профилей программ и переустановка броузеров ровным счетом ничего не дает. результат тот же.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) veranyon, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 43
Info_bot, так, прикрепил же такие файлы, следуя инструкции.
-
Здравствуйте!
1. Отключите все защитные приложения (Чтобы узнать, как это сделать, нажмите здесь.).
2. Выполните скрипт в AVZ (Чтобы узнать, как это сделать, нажмите здесь.):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\explrpn.dll','');
DeleteFile('C:\WINDOWS\system32\explrpn.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Затем выполните ещё один скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
4. Пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
5. Сделайте повторные логи (hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip).
6. Вам знакомы данные DNS-адреса?
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE95DA5-CADC-4200-B0F5-E35B7B63EF42}: NameServer = 5.199.140.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE95DA5-CADC-4200-B0F5-E35B7B63EF42}: NameServer = 5.199.140.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{2AE95DA5-CADC-4200-B0F5-E35B7B63EF42}: NameServer = 5.199.140.180
7. TeamViewer сами ставили?
-
-
Junior Member
- Вес репутации
- 43
6. - да. там статические адреса прописаны. и днс и сам адрес клиента. с час назад даже обрадовался, что нашел зараду. полез в реквизиты провайдера. нет - это адреса днс. они уже прописаны и именно такие.
7. - человек на стороне, где вирь. можно сказать, что сам.
вот, я и сам не мог понять про explrpn.dll. вреден он, или нет. в гугле ни слова про него. снес библиотеку из автозапуска и на всякий случай прошелся скриптом, что вы мне выслали.
После перезагрузки никаких проблем. хром и другие броузеры грузятся, серфят ввв странички без проблем. никаких криков о заблокированных сайтах. то есть, как бы все хорошо.
Делал все под самый конец рабочего дня там. в понедельник постараюсь не забыть выслать отчет. в напоминалку себе занес.
надо разбираться с кредиткой. странно. на appstore она проходит, а тут нет. номер горит красным.
Там обязаткльны фамилия итд, а она у меня qiwi. ну да ладно. это я разберусь.
Спасибо вам Большое
-
Это троянские DNS
Пофиксите в HiJack
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE95DA5-CADC-4200-B0F5-E35B7B63EF42}: NameServer = 5.199.140.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE95DA5-CADC-4200-B0F5-E35B7B63EF42}: NameServer = 5.199.140.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{2AE95DA5-CADC-4200-B0F5-E35B7B63EF42}: NameServer = 5.199.140.180
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
пересканировал.
днс'ы снес те.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-