Printable View
Проявления:
-не проходят обновления антивирусов, некоторые проги невозможно скачать (CureIt)
-не работают восстановление системы, информация о системе, смена пользователя
-постоянные pop-up`ы, переадресация на ненужные сайты
Касперский проблему не видит, спайвары не могут удалить полностью.
Буду благодарен за помощь.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
QuarantineFile('karna.dat','');
DeleteFile('karna.dat');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
карантин оказался пуст. логи переделал.
проблема актуальна
213.234.192.8,85.121.192.3 - это ваши днс серверы ?
[QUOTE=V_Bond;419794]213.234.192.8,85.121.192.3 - это ваши днс серверы ?[/QUOTE]
Не знаю. Как можно это определить?
в договоре с провайдером какой указан ?
договора нет :(
пофиксите
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEDC847-3868-495C-BAE4-C301AD209F87}: NameServer = 85.255.115.28 85.255.112.172
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
[/code]
hijackthis.log повторите ...
пофиксил.
Выполните скрипт:
[CODE]begin
DelCLSID('02478D38-C3F9-4efb-9B51-7695ECA05670');
DelCLSID('25CEE8EC-5730-41bc-8B58-22DDC8AB8C20');
DelCLSID('4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C');
DelCLSID('761497BB-D6F0-462C-B6EB-D4DAF1D92D43');
DelCLSID('AA58ED58-01DD-4d91-8333-CF10577473F7');
DelCLSID('AE7CD045-E861-484f-8273-0445EE161910');
DelCLSID('AF69DE43-7D58-4638-B6FA-CE66B5AD205D');
DelCLSID('C84D72FE-E17D-4195-BB24-76C02E2E7C4E');
DelCLSID('F4971EE7-DAA0-4053-9964-665D8EE6A077');
DelCLSID('4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C');
end.[/CODE]
Повторите лог HijackThis (hijackthis.log).
Дополнительно к предыдущему совету
Пофиксить в HiJack
[CODE]O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEDC847-3868-495C-BAE4-C301AD209F87}: NameServer = 85.255.115.28 85.255.112.172[/CODE]
Если ограничения на работу браузера браузер не накладывали, тогда пофиксить еще и эти строки
[CODE]O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present[/CODE]
Сделать новый лог HiJack
все скрипты выполнил.
2 объекта упорно восстанавливаются после перезагрузки и подключения интернета:
O17 - HKLM\System\CCS\Services\Tcpip\..\{55AAC894-4174-4ED1-A3EB-444BFD7B9A82}: NameServer = 213.234.192.8,85.121.192.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEDC847-3868-495C-BAE4-C301AD209F87}: NameServer = 85.255.115.28 85.255.112.172
Ничего подозрительного в логах.
Рекомендуется:
- Обновить Acrobat Reader до версии 9.1.2;
- Обновить JavaRE.
[QUOTE]2 объекта упорно восстанавливаются после перезагрузки и подключения интернета:
O17 - HKLM\System\CCS\Services\Tcpip\..\{55AAC894-4174-4ED1-A3EB-444BFD7B9A82}: NameServer = 213.234.192.8,85.121.192.3
[/QUOTE]
так и должно быть ... это корбина
- Пуск/Выполнить... скопировать или набрать строку
[CODE]edit c:\windows\system32\drivers\etc\hosts[/CODE]нажать ВВОД.
Удалить ВСЕ строчки, перед которыми не стоит знак [B][SIZE="4"]#[/SIZE][/B]
Написать или скопировать одну строчку
[CODE]127.0.0.1 localhost[/CODE]
Файл/Выход... Изменения сохранить.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) -
O16 - DPF: {CAFEEFAC-0015-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.5.0_15) -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) -
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) -
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEDC847-3868-495C-BAE4-C301AD209F87}: NameServer = 85.255.115.28 85.255.112.172
[/CODE]
перегрузиться, повторить лог hijackthis
Всё выполнил. В результате пропали баннеры!
Осталась переадресация на сайты онлайн-игр.
По Spyware Doctor`у проблема в [B]Adware.Advertising [/B]Браузер - cookie - adriver.ru/ adriver.ru Можно с этим что-то сделать?
Со сменой пользователя разобрался - было отключено в Службах.
Возможно, по этой же причине в Диспечере задач снова отображается имя пользователя.
Восстановление системы, информация о системе, обновления антивирусов по прежнему не работают.
Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]
[QUOTE=hartmann;420656]
По Spyware Doctor`у проблема в [B]Adware.Advertising [/B]Браузер - cookie - adriver.ru/ adriver.ru Можно с этим что-то сделать?[/QUOTE]Это проще всего - удалите Spyware Doctor и забудьте о нем... 8)
[QUOTE=Rene-gad;420764]Это проще всего - удалите Spyware Doctor и забудьте о нем... 8)[/QUOTE]
Ок, так и сделаю :)