Для анализа проблем в браузерах с нежелательной рекламой, переадресацией создаем список расширений с помощью программы ccleaner.

1. скачать и установить ccleaner (если не установлен), или обновить на актуальную версию.
[URL=http://www.piriform.com/ccleaner/download/standard]CCleaner - Standard[/URL]

2. запускаем ccleaner, переходим в режим Сервис - Автозагрузка.

[IMG]http://s019.radikal.ru/i617/1402/78/27a3641e0476.jpg[/IMG]

сохраняем отчеты по браузерам, и добавляем файлы отчетов в вашу тему.
-----------
опытные пользователи могут самостоятельно отключить или удалить нежелательное расширение.

Новая проблема в массовом порядке присутствует в темах на форумах безопасности - автоматическая подмена DNS. Разовое исправление настроек DNS в сетевых подключениях не решает проблему, точнее решает, но лишь на некоторое время. Такие вот сигналы SOS в киберпространстве сейчас актуальны.

"Каждый раз происходит подмена DNS на 37.10.116.201,8.8.8.8.Систему проверил CureIt, нашел Java/Eploit.Agent.NMD. Получается, что я ставлю автоматически получать адрес DNS, через некоторое время прописываться в ручную на 37.10.116.201,8.8.8.8."

"Добрый день! В последнее время стали подменяться DNS сервера выданные DHCP сервером, т.е. сервер выдает одно, а на компьютере DNS сервера заменяются на другие."

"Каждый день, в 14 часов происходит подмена DNS на 27.10.116.201. Систему проверял CureIT и Kaspersky Virus Removal Tool, угроз не обнаружено. Сканировал систему HijackThis, фиксил строчки с данным DNS, эффект ровно такой же, как бы я в ручную поставил автоматическое присвоение DNS, хватает ровно на сутки."

[B]решение[/B]

[url=http://forum.esetnod32.ru/forum9/topic2687/]получаем образ автозапуска в uVS[/url] и тщательно изучаем раздел задач планировщика. Для автоматизации можно создать критерий поиска, содержащий подстроку
"37.10.116.201,8.8.8.8" или "DNS"

в итоге, в образе автозапуска найдется следующая запись.

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла WMIC.EXE
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Удовлетворяет критериям
SETDNSSERVER (ЗНАЧЕНИЕ ~ SETDNSSERVER)(1)

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id 4A5BC7A78D000
Linker 9.0
Размер 566272 байт
Создан 14.07.2009 в 03:47:53
Изменен 14.07.2009 в 05:39:55
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя wmic.exe.mui
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание WMI Commandline Utility
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 071A645A88E4236281E58B90A5D50A2AC80E26E5
MD5 FD902835DEAEF4091799287736F3A028

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT2.JOB
Значение "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.  8)  

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2[/QUOTE]

Теперь вы точно знаете, что делать с файлами C:\WINDOWS\TASKS\AT2.JOB, C:\WINDOWS\SYSTEM32\TASKS\AT2

Критерий поиска можно уточнить до ЗНАЧЕНИЕ ~ SETDNSSERVER

©, chklst.ru

я думаю, здесь одним примером не обойтись. в какие структуры автозапуска предполагается закачивать инфо, какую именно инфо, какие при этом будут характерные критерии. (пока нет возможности этим заниматься, пока не решены первоочередные задачи.)

Перестал обновляться антивирус, нет доступа к антивирусным сайтам. Данные ресурсы не пингуются, не трассируются. Доступ к другим сайтам есть. Стандартные решения: проверка hosts, очистка статических маршрутов с помощью route -f, очистка локального кэша DNS ipconfig /flushdns, сканирование с помощью cureit не помогают.

Проверяем политики безопасности IP: Заходим в администрирование, локальные параметры безопасности - политика безопасности IP.
(или:
Заходим в [B]Пуск-[/B]>[B]Выполнить[/B] и вводим команду [B]mmc[/B]. Откроется консоль, где надо зайти в [B]Файл->Добавить или удалить оснастку[/B]. Выбираем в левом списке [B]Управление политикой IP-Безопасности[/B], [B]Добавить, Готово, ОК[/B].
)

Если в списке политик есть активированные элементы, проверяем содержимое данной политики.

Это может быть элемент default, приведенный на рисунке.
[IMG]http://chklst.ru/forum/docs/ipsec/1.jpg[/IMG]

элемент default может содержать несколько правил

[IMG]http://chklst.ru/forum/docs/ipsec/2.jpg[/IMG]

проверяем действие указанных правил. Это может быть блокирующее действие.

[IMG]http://chklst.ru/forum/docs/ipsec/3.jpg[/IMG]
[IMG]http://chklst.ru/forum/docs/ipsec/4.jpg[/IMG]
[IMG]http://chklst.ru/forum/docs/ipsec/5.jpg[/IMG]

проверяем содержимой списка фильтров из правил. В списке фильтров могут содержаться адреса блокированных ресурсов

[IMG]http://chklst.ru/forum/docs/ipsec/6.jpg[/IMG]

например, этот

[IMG]http://chklst.ru/forum/docs/ipsec/7.jpg[/IMG]

Если указанная политика активна, деактивируем ее, перегружаем систему... проверяем доступ к недоступным ранее ресурсам.
[B]
Восстановили доступ? удаляем небезопасную для вашей системы политику безопасности![/B]

Веб-страница: http://dsrt.dyndns.org
Комментарий: ESET Endpoint Security заблокировал доступ к веб-странице. Страница находится в списке веб-сайтов с потенциально опасным содержимым.

просьба написать в вирлаб ESET чтобы удалили сайт разработчика Universal Virus Sniffer из черного списка.

[B]возможности программы AntiSMS[/B]
---------
• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.

http://forum.simplix.ks.ua/viewtopic.php?id=399

ClevX DriveSecurityTM powered by ESET is a portable antivirus utility that prevents malware from spreading to portable media used outside of a protected environment. Used on any Windows computer (no installation required), it runs in the background and scans files with ESET’s award winning antivirus engine to ensure that malware is not written to the portable device.

http://kb.eset.com/esetkb/index?page=content&id=SOLN2840&actp=search&viewlocale=en_US&search­id=1340997452361

[IMG]http://s40.radikal.ru/i089/1212/5a/58c55d5d4ee0.jpg[/IMG]

XBoot создает настраиваемый мультизагрузочный USB Drive.

Если вы используете несколько различных Live CD для тестирования, устранения неисправностей, XBoot поможет вам объединить их в одном загружаемом CD или USB.

XBoot имеет чрезвычайно простой в использовании интерфейс: Вы просто перетаскиваете нужные вам образы iso в список, чтобы затем записать все в один CD или USB. Кроме того, с помощью инструмента виртуализации QEMU Вы можете проверить, как будет выглядеть стартовое меню вашего диска.

Перечень совместимых утилит составляет около полусотни приложений, а в случае если XBoot не поддерживает требуемую программу или операционную систему, есть возможность выбрать универсальный способ загрузки (Grub4dos, ISO Emulation). Все образы в списке разбиты по категориям: утилиты (Windows 7 PE, Acronis, GParted, Memtest86+, Seatools и др.), Linux (Knoppix, Slax, Ubuntu и др.) и антивирусы (AVG, Avira, DrWeb, Kaspersky и др.).

[url=http://chklst.ru/forum/discussion/89/sozdaem-multizagruzochnyy-disk-s-pomoschyu-xboot#Item_1]далее здесь...[/url]

Полезный инструмент для восстановления доступа к системе, если повреждены MBR, patition table в результате действия MBRlock, killdisk

MiniTool® Partition Wizard Bootable CD 7.6
MiniTool Partition Wizard Bootable CD allows user to boot computer directly into MiniTool Partition Wizard to manage partitions without any limitations. Features including Rebuild MBR, Partition Recovery, Move/Resize Partition, Merge Partition, Extend Partition, Split Partition, Change Cluster Size, Copy Partition, Create Partition, Delete Partition, Format Partition, Convert File System, Hide/Unhide Partition, Explore Partition and much more.

http://www.partitionwizard.com/partition-wizard-bootable-cd.html

[URL=http://chklst.ru/forum/discussion/88/vosstanavlivaem-dostup-k-sisteme-s-pomoschyu-partition-wizard-bootable-cd#Item_1]здесь инструкция[/URL] как восстановить доступ к системе с помощью Partition Wizard Bootable CD

http://virusinfo.info/showthread.php?t=126194