ПК не получают адреса по dhcp ПК-5

**Mr_SlavaN** · 24.10.2013, 14:26

Продолжение заявок №148032, 148033, 148034, 148036

Логи с ПК-5

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.10.2013, 14:27

Уважаемый(ая) Mr_SlavaN, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 24.10.2013, 15:55

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\DOCUME~1\E99C~1\LOCALS~1\Temp\tasknotify32.exe','');
 DeleteFile('C:\DOCUME~1\E99C~1\LOCALS~1\Temp\tasknotify32.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Windows Debugger 32');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

**Mr_SlavaN** · 24.10.2013, 18:49

Скрипты выполнил, карантин выслал, логи AVZ и HJT прилагаю. Лог MBAM будет позже - сейчас сканируется.
Сеть работает в полном объёме.

- - - Добавлено - - -

Вот запрошенный лог MBAM

**mike 1** · 24.10.2013, 22:48

1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:  5
HKCR\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Действие не было предпринято.
HKCR\CLSID\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ⁅䳫첓䄗巊穭㌷�룠騟螇혳�坴馬㘧쩾풝닋죀幁䋜생�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼ࡘ筂䶢ퟢﺒⲫ䮯줚䔰筀��꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼窬嗲ꉃ䢳冻攡»�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼�꣔ܲ㒼摇㤌젇 -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Documents and Settings\Яна\Application Data\FieryAds (Adware.FieryAds) -> Действие не было предпринято.
C:\Documents and Settings\Яна\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

2. Проверьте эти файлы на virustotal

Код:

C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe
D:\Мои документы\xmascottage.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

**Mr_SlavaN** · 25.10.2013, 13:16

Вот лог mbam после выполнения рекомендаций.
Ссылка на проверку RAR Slayer v1.1.exe
Ссылка на проверку xmascottage.exe

**mike 1** · 25.10.2013, 13:27

Этот D:\Мои документы\xmascottage.exe файл вам знаком?

**Mr_SlavaN** · 25.10.2013, 13:34

Комп не мой, но удалить могу без проблем.

**mike 1** · 25.10.2013, 13:36

Удалите тогда. Что с проблемой?

**Mr_SlavaN** · 25.10.2013, 13:38

Сеть работает в полном объёме. Дополнительно перестал вываливаться с ошибкой сервис диспетчера печати.
Огромная благодарность за помощь!

**mike 1** · 25.10.2013, 13:41

1. Удалите MBAM через установка и удаление программ.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

**Mr_SlavaN** · 25.10.2013, 14:05

Лог SecurityCheck

Код:

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 25.10.2013 13:59:28
Run directory: C:\Documents and Settings\Яна\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.1 
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 28.07.2009 08:44:58
Системный диск: C:\ ФС: NTFS Емкость: [29.3 Гб] Занято: [12.1 Гб] Свободно: [17.2 Гб]
Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-10-25 05:05:34
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
ESET NOD32 Antivirus v.4.2.71.3
-------------OtherUtilities-----------------------
Foxit Reader 3.0 Build 1122
-------------Java---------------------------------
Java(TM) 6 Update 13 v.6.0.130 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u45-windows-i586.exe)^
-------------Browser------------------------------
Opera 12.16 v.12.16.1860
-------------EmailClient--------------------------
4.1.7 The Bat!
-------------EndLog-------------------------------

**mike 1** · 25.10.2013, 14:15

Установите обновления по ссылкам. Антивирус обновите по этой http://www.esetnod32.ru/download/home/trial/ ссылке.

Советы и рекомендации после лечения компьютера

**Mr_SlavaN** · 25.10.2013, 17:34

Выполним.
Спасибо за помощь!

**CyberHelper** · 25.10.2013, 17:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

ПК не получают адреса по dhcp ПК-5 (заявка № 148037)

Опции темы

ПК не получают адреса по dhcp ПК-5

Это понравилось:

Итог лечения

Похожие темы

ПК не получают адреса по dhcp ПК-2

ПК не получают адреса по dhcp ПК-4

ПК не получают адреса по dhcp ПК-3

ПК не получают адреса по dhcp ПК-6

ПК не получают адреса по dhcp ПК-1 [Trojan.Win32.Qhost.ahih ]

Метки для этой темы

Ваши права в разделе