Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Коннекты с IP (http://forum.oszone.net/showthread.php?t=186886)

creative84 29-09-2010 18:38 1507557
Коннекты с IP
 
Вложений: 1
Система пытается коннтектиться с неизвестными IP . Cоздаются файлы exe

zirreX 29-09-2010 18:53 1507570
Здравствуйте!Смотрю ваши логи

zirreX 29-09-2010 19:46 1507596
Очистите временные файлы через Пуск => Программы => Стандартные => Служебные => Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
Если вы используете Firefox, нажмите Firefox = >Select All => Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera => Select All => Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Откройте AVZ и выберите Файл - Выполнить скрипт - Скопировать ниже написанный
скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через эту форму

Полученный ответ сообщите здесь.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

creative84 29-09-2010 20:30 1507638
Вложений: 2
все выполнил.
первый лог-сразу после сканирования, второй, после того, как нажал удалить зараженные файлы.

zirreX 29-09-2010 21:13 1507709
Нужен лог RSITЗапустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Повторите логи AVZ.

Что с проблемами?

creative84 29-09-2010 21:54 1507733
Вроде ничего подозрительного не замечаю. Посмотрите по логам.

iskander-k 29-09-2010 22:43 1507771
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

zirreX 30-09-2010 01:48 1507868
Откройте AVZ и выберите Файл - Выполнить скрипт - Скопировать ниже написанный
скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\TASKMAN.EXE');
QuarantineFile('hakc.sys','');
QuarantineFile('C:\WINDOWS\PEV.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauclt1.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys','');
QuarantineFile('C:\WINDOWS\TASKMAN.EXE','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\71.exe','');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\TASKMAN.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через эту форму

Полученный ответ сообщите здесь.

zirreX 01-10-2010 13:50 1508893
Выполнили скрипт?Каков ответ по карантину?

Лечение еще не окончено! Повторите пожалуйста лог RSIT!

creative84 02-10-2010 09:37 1509474
ответ по карантину не получил

лог повторяю

Arbitr 02-10-2010 12:28 1509545
вы уже делали лечение на данной системе? выполняли GMER или Combo ?

creative84 02-10-2010 13:37 1509578
gmer не применял. combo вроде делал

Arbitr 02-10-2010 14:26 1509610
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
обновить ваш виндоус до SP3

creative84 02-10-2010 14:53 1509624
Combofix не обнаружен. Clean up выполнил

Arbitr 02-10-2010 15:10 1509639
все..удачи


Время: 17:08.

Время: 17:08.
© OSzone.net 2001-