-
Junior Member
- Вес репутации
- 45
Подмена адресов соц. сетей
Приветствую докторов !
Постоянно происходит подмена адресов серверов соц. сетей. Запускаю hijackthis, удаляю O17, прописываю руками свой DNS (62.192......), кое-что правлю скриптами AVZ4 и хватает на пару дней. Потом всё заново. Видимо, полностью не вычищаю.
Malwarebytes Anti-Malware ничего не находит.
Посмотрите, пожалуйста, логи во вложении. Сейчас пофиксил только dns, avz'ом ничего не правил.
Вложение 462805 Вложение 462806
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) толстый29, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
QuarantineFile('C:\windows\Tasks\At1.job)','');
DeleteFile('C:\windows\Tasks\At1.job','32');
DeleteFile('C:\windows\Tasks\At2.job','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
ProxyServer = 192.168.0.7:3150 - сами прописывали? Если нет, то
Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.7:3150
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
смените все пароли, по окончанию лечения смените ещё раз.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 45
скрипт не выполняет, вернее, выполняет, но выдает ошибку -
Ошибка карантина файла, попытка прямого чтения (C:\windows\Tasks\At1.job))
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\Tasks\At1.job))
Карантин с использованием прямого чтения - ошибка
Ошибка [2, QUARANTINEFILE]
Удаление файла: C:\windows\Tasks\At1.job
Удаление файла: C:\windows\Tasks\At2.job
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
в понедельник продолжу лечение, сейчас убегаю
- - - Добавлено - - -
проксик сам прописывал
-
Выполняйте остальное тогда.
-
-
Junior Member
- Вес репутации
- 45
http://virusinfo.info/virusdetector/...8E6DF6962B0912
на детектор использовал стандартный AVZ, на создание отчета во вложении - тот, что Вы давали
- - - Добавлено - - -
сообщение во время проверки:
Ошибка карантина файла, попытка прямого чтения (C:\windows\TEMP\DCE21EC85.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\System32\Drivers\dump_nvata.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\windows\System32\Drivers\dump_WMILIB.SYS)
Карантин с использованием прямого чтения - ошибка
- - - Добавлено - - -
еще
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
Карантин с использованием прямого чтения - ошибка
-
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\GARMIN\GARMINxpers.exe','Подозрение на Zbot');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C1F27D-5F8E-4C7F-92D9-77BAC63F6EA9}: NameServer = 37.10.116.204,8.8.8.8
Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.
Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
Очистите куки и кэш браузеров (http://virusinfo.info/showthread.php?t=128635)
Сделайте новые логи AVZ. Логи AVZ делайте этой http://www.z-oleg.com/secur/avz/download.php версией
Сделайте новый лог HiJackThis
-
-
Junior Member
- Вес репутации
- 45
Успешно выполнил первый скрипт, "очистил" обозреватели. Перезагрузился. И сразу DrWeb удалил из папки с карантином дат'овский файл с вирусом. Успел прочитать что-то про Trojan.Panda.555.......Странно, что его раньше эта блестящая идея не посетила. Архивацию вируса выполнить не успел
Логи во вложении. Пока всё норм.
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\GARMIN\GARMINxpers.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\GARMIN\GARMINxpers.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{F3832C79-44F6-6D2D-A29B-9200C1C4717F}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 45
Всё сделал, но вызывает подозрение размер архива с карантином
http://virusinfo.info/virusdetector/...F12C7D1AD69396
- - - Добавлено - - -
140225_051618_quarantine_530c272208f4e.zip
-
Сообщение от
толстый29
Всё сделал, но вызывает подозрение размер архива с карантином
файл в карантин не попал .
проблема решена?
-
-
Junior Member
- Вес репутации
- 45
пока всё хорошо. Если принципиально, то можно закрыть тему или подождать до завтрашнего дня, я отпишусь и там по обстоятельствам
-
подождём .
А пока
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 45
всё хорошо. можно закрывать.
спасибо
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-