Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. (http://forum.oszone.net/showthread.php?t=271175)

Toonfala 01-11-2013 20:49 2245623
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
 
Вложений: 4
Доброго времени суток!
Сегодня На одном форуме перешел по ( по глупости ) неизвестной ссылке и получил такую бяку.

Цитата:
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Знаю что это называется как-то вроде Антивконтакте.
Помогите пожалуйста избавиться от этой проблемы

Логи прилагаются:

Katharsis 01-11-2013 23:37 2245705
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
r112_122.bat - это ваше?

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Users\Администратор\AppData\Roaming\nightupdate', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\1.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\khivldl.exe','');
 QuarantineFile('C:\ProgramData\Mozilla\zajlnpd.exe','');
 DeleteFile('C:\ProgramData\Mozilla\zajlnpd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ifdcvxe','64');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\khivldl.exe');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\1.exe');
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\nightupdate', '*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\nightupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(10);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Обновите базы авз (файл - обновление баз) и Сделайте новые логи AVZ и RSIT

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Toonfala 02-11-2013 02:04 2245825
Цитата:
Цитата Katharsis
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
r112_122.bat - это ваше? »
Это моё)
И спасибо, помогло.

Katharsis 02-11-2013 02:16 2245832
даже если помогло, нужно выложить повторные логи и сделать все остальное

Toonfala 02-11-2013 03:34 2245862
Вложений: 1
Извиняюсь за поздний ответ, но вот лог сканирования

Katharsis 02-11-2013 13:14 2245999
Цитата:
Цитата Katharsis
2. Обновите базы авз (файл - обновление баз) и Сделайте новые логи AVZ и RSIT »
это тоже не забудьте

Toonfala 02-11-2013 16:26 2246126
Вложений: 3
Вот повторные логи

Katharsis 02-11-2013 17:05 2246150
Все найденное MBAM - adware, можно удалить.

также смените все пароли.

в остальном проблема решена?

Toonfala 02-11-2013 17:26 2246161
Да проблема решена, но так как компьютер на ночь отключал придется делать повторное сканирование. Спасибо за помощь

Katharsis 02-11-2013 18:10 2246182
для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

потом http://forum.oszone.net/post-1838507-9.html

Toonfala 02-11-2013 19:11 2246208
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 02.11.2013 19:10:15
Run directory: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.1
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 19.11.2012 13:39:37
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [195.2 Гб] Занято: [113.7 Гб] Свободно: [81.5 Гб]
Браузер по умолчанию: C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16686 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-10-11 22:22:23
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
IObit Malware Fighter
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.3.219.0
McAfee Security Scan Plus v.3.0.285.6
-------------OtherUtilities-----------------------
CCleaner (64-bit) v.3.20
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 7 Update 5 (64-bit) v.7.0.50
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117
Adobe Flash Player 11 Plugin v.11.9.900.117
Adobe Shockwave Player 11.6 (64-bit) v.11.6.5.635 Внимание! Скачать обновления
Adobe Reader 8 - Russian v.8.1.2 Внимание! Скачать обновления
-------------Browser------------------------------
CoolNovo v.2.0.9.20
Yandex v.28.0.1500.8765 [+]
-------------RunningProcess-----------------------
C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.28.0.1500.8765
-------------EndLog-------------------------------


Время: 20:17.

Время: 20:17.
© OSzone.net 2001-