[FinalQ]

Нашел команду сброса настроек TCP/IP: netsh int ip reset resetlog.txt
Помогло ровно на одну перезагрузку, после следующей перезагрузки та же проблема.

P.S. Какая нибудь помощь будет оказана? Хотябы "В логах ничего подозрительного не замечено" или наоборот "компьютер кишит вирусами"?

[iskander-k]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\FinalQ\AppData\Local\Temp\OyIP2Nvn.sys','');
 QuarantineFile('C:\Windows\Temp\TS_647C.tmp','');
 DeleteFile('C:\Users\FinalQ\AppData\Local\Temp\OyIP2Nvn.sys');
 DeleteFile('C:\Windows\Temp\TS_647C.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[FinalQ]

TS_647C.tmp удалил лично после проверки AVZ
OyIP2Nvn.sys пропал
(Выполнил скрипт, но папка quarantine пуста)

Скачал Malwarebytes Anti-Malware, обновил, проверил полным сканированием:

Код:

Malwarebytes Anti-Malware (Пробная версия) 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.03.09.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
FinalQ :: FINALQ-PC [администратор]

Защитный модуль : Включен 

09.03.2012 20:00:49
mbam-log-2012-03-09 (20-28-22).txt

Тип сканирования:  Полное сканирование 
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  325741
Времени прошло:  17 минут , 31 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено) 

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено) 

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  2
D:\diskD\Grin\tabletka\Crypt.dll (Hacktool) -> Действие не было предпринято.
D:\Downloads\Torrent\Adobe Photoshop CS5 Extended 12.0 [Официальная русская версия]\Adobe.Photoshop.CS5.Extended.v12.0\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe (Malware.Packer.Gen) -> Действие не было предпринято.

(конец)

Ничего не нашло

UP. Проблема решилась. Возможно из-за создания логов AVZ (третий скрипт). Прошу ещё раз проверить логи.
Я так понял это была подмена DNS, как мне проверить используется щас DNS провайдера или вируса?

UP2. Удалил Malwarebytes Anti-Malware, перезагрузился и опять та же проблема(

[alex_sev]

• Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
• Прикрепите файл к следующему сообщению.

[FinalQ]

Проблема стала плавающей.
Ещё заметил что не могу отключить "общий доступ к файлам и принтерам" в "Центр управления сетями и общим доступом" -> "Дополнительные параметры общего доступа". Или это не вирус?

[alex_sev]

Отравления DNS не видно, давайте еще так попробуем:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[FinalQ]

Цитата FinalQ:

Ещё заметил что не могу отключить "общий доступ к файлам и принтерам" в "Центр управления сетями и общим доступом" -> "Дополнительные параметры общего доступа". Или это не вирус? »

Решил проблему включением службы брандмауэра.

Цитата FinalQ:

Проблема стала плавающей. »

Пока не проявляется.

Сделал логи всеми программами описанными выше, если ничего подозрительного замечено не будет, то тему можно закрывать.

[alex_sev]

Чисто

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Ознакомьтесь с этими рекомендациями