Подмена адресов соц. сетей

[толстый29]

Приветствую докторов !

Постоянно происходит подмена адресов серверов соц. сетей. Запускаю hijackthis, удаляю O17, прописываю руками свой DNS (62.192......), кое-что правлю скриптами AVZ4 и хватает на пару дней. Потом всё заново. Видимо, полностью не вычищаю.

Malwarebytes Anti-Malware ничего не находит.

Посмотрите, пожалуйста, логи во вложении. Сейчас пофиксил только dns, avz'ом ничего не правил.

Вложение 462805 Вложение 462806

[Info_bot]

Уважаемый(ая) толстый29, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте логи таким AVZ

[толстый29]

Вложение

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 QuarantineFile('C:\windows\Tasks\At1.job)','');
 DeleteFile('C:\windows\Tasks\At1.job','32');
 DeleteFile('C:\windows\Tasks\At2.job','32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

ProxyServer = 192.168.0.7:3150 - сами прописывали? Если нет, то

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.7:3150

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

смените все пароли, по окончанию лечения смените ещё раз.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[толстый29]

скрипт не выполняет, вернее, выполняет, но выдает ошибку -

Ошибка карантина файла, попытка прямого чтения (C:\windows\Tasks\At1.job))
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\Tasks\At1.job))
Карантин с использованием прямого чтения - ошибка
Ошибка [2, QUARANTINEFILE]
Удаление файла: C:\windows\Tasks\At1.job
Удаление файла: C:\windows\Tasks\At2.job
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено

в понедельник продолжу лечение, сейчас убегаю

- - - Добавлено - - -

проксик сам прописывал

[mike 1]

Выполняйте остальное тогда.

[толстый29]

http://virusinfo.info/virusdetector/...8E6DF6962B0912

на детектор использовал стандартный AVZ, на создание отчета во вложении - тот, что Вы давали

- - - Добавлено - - -

сообщение во время проверки:

Ошибка карантина файла, попытка прямого чтения (C:\windows\TEMP\DCE21EC85.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\System32\Drivers\dump_nvata.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\System32\Drivers\dump_WMILIB.SYS)
Карантин с использованием прямого чтения - ошибка

- - - Добавлено - - -

еще

Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
Карантин с использованием прямого чтения - ошибка

[mike 1]

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\GARMIN\GARMINxpers.exe','Подозрение на Zbot');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C1F27D-5F8E-4C7F-92D9-77BAC63F6EA9}: NameServer = 37.10.116.204,8.8.8.8

Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

Очистите куки и кэш браузеров (http://virusinfo.info/showthread.php?t=128635)

Сделайте новые логи AVZ. Логи AVZ делайте этой http://www.z-oleg.com/secur/avz/download.php версией

Сделайте новый лог HiJackThis

[толстый29]

Успешно выполнил первый скрипт, "очистил" обозреватели. Перезагрузился. И сразу DrWeb удалил из папки с карантином дат'овский файл с вирусом. Успел прочитать что-то про Trojan.Panda.555.......Странно, что его раньше эта блестящая идея не посетила. Архивацию вируса выполнить не успел

Логи во вложении. Пока всё норм.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\GARMIN\GARMINxpers.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\GARMIN\GARMINxpers.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{F3832C79-44F6-6D2D-A29B-9200C1C4717F}');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[толстый29]

Всё сделал, но вызывает подозрение размер архива с карантином

http://virusinfo.info/virusdetector/...F12C7D1AD69396

- - - Добавлено - - -

140225_051618_quarantine_530c272208f4e.zip

[regist]

Всё сделал, но вызывает подозрение размер архива с карантином

файл в карантин не попал .

проблема решена?

[толстый29]

пока всё хорошо. Если принципиально, то можно закрыть тему или подождать до завтрашнего дня, я отпишусь и там по обстоятельствам

[regist]

подождём .

А пока

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[толстый29]

всё хорошо. можно закрывать.

спасибо

[mike 1]

Смените пароли.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены