[решено] ProxyServer: что-то меняет значение.

S.R · Отправлено: **14:43, 26-11-2011** | #2

Сейчас гляну.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SET3.tmp.txt','');
 QuarantineFile('kscowyq.sys','');
 DeleteFile('C:\WINDOWS\SET3.tmp.txt');
 DeleteFileMask('C:\WINDOWS\system32\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Прикрепите логи ComboFix и MBAM

anivan · Отправлено: **16:47, 26-11-2011** | #3

MBAM позже,долго проверяется,но могу выложить лог быстрой проверки

thyrex · Конфигурация компьютера

Версия ComboFix устарела. Обновите и переделайте лог

Сделайте такой лог http://support.kaspersky.ru/faq/?qid=208639606

anivan · Отправлено: **01:41, 27-11-2011** | #5

Вот

S.R · Отправлено: **16:41, 27-11-2011** | #6

Удалите в MBAM вредоносную запись.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

Код:

KillAll::

FileLook::
C:\WINDOWS\system32\DRIVERS\tcpip.sys


File::
c:\documents and settings\Admin\Application Data\b2_res.exe


DirLook::


Folder::
C:\MQVaNXtjrn1fE6t


Driver::


Registry::


ClearJavaCache::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Вам знакомы эти ДНС:

Код:

212.107.200.68 
212.122.1.2

anivan · Отправлено: **16:47, 27-11-2011** | #7

запись удаляю,восстанавливается через некоторое время
хм,а про днс не знаю

S.R · Отправлено: **16:56, 27-11-2011** | #8

Выполните тогда манипуляции с ComboFix

DNS из Владивостока.

anivan · Отправлено: **08:13, 28-11-2011** | #9

Сделал,но все равно проблема осталась

SolarSpark · Отправлено: **08:42, 28-11-2011** | #10

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

Folder::
C:\5prW8hLjEmfv7eT
C:\2gPzm53eSx227un
DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Если вы точно не используете прокси для соединения с интернетом, зайдите в папку
c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\200m5z0p.default\

найдите файл prefs.js, откройте его блокнотом найдите в нем эти строки и удалите:
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 53333
В опциях браузера (настройки - дополнительно - сеть - "настроить") окно "параметры соединения" отметьте "без прокси".

далее делаем лог HijackThis + повторяем лог МВАМ