добрый день.
есть вирус который меняет днс в свойствах сетевой карты на какой то не понятный , посмотрите пожалуйста
добрый день.
есть вирус который меняет днс в свойствах сетевой карты на какой то не понятный , посмотрите пожалуйста
Уважаемый(ая) gradproekt, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\sysuser\svchost.exe'); StopService('MSSystem'); QuarantineFile('C:\WINDOWS\system32\01.tmp', ''); QuarantineFile('c:\windows\system32\sysuser\svchost.exe', ''); QuarantineFileF('c:\windows\system32\sysuser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0); DeleteFile('C:\WINDOWS\system32\01.tmp', '32'); DeleteFile('c:\windows\system32\sysuser\svchost.exe', ''); DeleteFile('C:\WINDOWS\system32\sysuser\svchost.exe', '32'); DeleteService('fnhpkehoa'); DeleteService('lqbewqh'); DeleteService('MSSystem'); DeleteService('qaswxitse'); DeleteService('sveur'); DeleteFileMask('c:\windows\system32\sysuser', '*', true); DeleteDirectory('c:\windows\system32\sysuser'); DeleteSchedulerTask('At1.job'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
карантин отправил
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: Tcpip\..\Interfaces\{A2118896-0C1B-4E58-BFD1-3DD6E0EA9A9F}: [NameServer] 37.10.116.200,8.8.8.8 S2 nvpsaeqde; C:\WINDOWS\system32\zdutst.dll [X] NETSVC: nvpsaeqde -> C:\WINDOWS\system32\zdutst.dll ==> No File 2018-01-22 16:27 - 2018-01-22 16:27 - 000000042 _____ () C:\Documents and Settings\filippova\Local Settings\Application Data\wsr28zt32.dll WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\":: WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario'] HKLM\...\regfile\DefaultIcon: <==== ATTENTION StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\sysuser\system.exe] => Enabled:SYSTEM CMD: ipconfig /flushdns Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой. Роутер не Mikrotik, случайно?
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
пока все нормально.
да, роутер микротик
Обновите, программы с критическими уязвимостями.--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления
Adobe Reader 9.1 v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Роутер проверьте на последствия взлома: Уязвимость Mikrotik позволяет получать список всех пользователей через winbox.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 5
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\windows\system32\sysuser\svchost.exe - UDS:DangerousObje=
ct.Multi.Generic ( BitDefender: Backdoor.Generic.201806 )
Уважаемый(ая) gradproekt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.