[решено] И снова "подозрительный трафик, исходящий из вашей в сети"

SolarSpark · Отправлено: **15:14, 29-03-2013** | #2

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\Mozilla\ondmmte.dll','');
 DeleteFile('C:\PROGRA~3\Mozilla\ondmmte.dll');
DeleteFileMask('C:\PROGRA~3\Mozilla', '*.*', true);
 DeleteDirectory('C:\PROGRA~3\Mozilla');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

O20 - AppInit_DLLs: C:\PROGRA~3\Mozilla\ondmmte.dll

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
_________________________________

sasha.solnechnaya@fb · MBAM-log-2013-03-30 (14-01-40).txt

Проблема решена, благодаря Вам. Жду дальнейших указаний

SolarSpark · Отправлено: **07:53, 30-03-2013** | #4

sasha.solnechnaya@fb, Mozilla Firefox браузер используете? как работоспособность?
удалит в МВАМ все, кроме

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SpyRemoverPro (Rogue.SpyRemover) -> Параметры: C:\Program Files (x86)\SpyRemover Pro\SpyRemoverPro.exe -> Действие не было предпринято.
C:\Program Files (x86)\SpyRemover Pro (Rogue.SpyRemover) -> Действие не было предпринято.
C:\Program Files (x86)\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Users\Solnechnaya\AppData\Roaming\SogouExplorer\SogouExplorerSetup.exe (Adware.Sogou) -> Действие не было предпринят
D:\Загрузки\Загрузки2\Corel PaintShop Photo Pro X3 v13.2.0.41 Multilingual Incl Keymaker-CORE\KeyGen\keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
D:\Загрузки\Загрузки2\TNod User & Password Finder 1.4.1 Final\TNod_User_Password_Finder_1.4.1_Final.exe (Trojan.MSIL) -> Действие не было предпринято.

Выполните сканирование. Лог приложите

sasha.solnechnaya@fb · Отправлено: **18:17, 30-03-2013** | #5

Прикладываю

SolarSpark · Отправлено: **09:36, 31-03-2013** | #6

не ответили про браузер

sasha.solnechnaya@fb · Отправлено: **10:27, 31-03-2013** | #7

Использую крайне редко, т.к. весьма медленно работает данный браузер

SolarSpark · Отправлено: **15:33, 31-03-2013** | #8

меня не интересует скорость браузера))
данный зловред прописывается в папки мозилы, я спрашиваю работает ли у вас мозила в принципе после удаления зловреда или не работает?

sasha.solnechnaya@fb · Отправлено: **18:52, 31-03-2013** | #9

SolarSpark, в принципе, работает