Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] мы зарегистрировали подозрительный трафик исходящий из вашей сети (http://forum.oszone.net/showthread.php?t=260276)

letosan 10-05-2013 07:53 2147459
мы зарегистрировали подозрительный трафик исходящий из вашей сети
 
Вложений: 4
"мы зарегистрировали подозрительный трафик исходящий из вашей сети"

shestale 10-05-2013 10:58 2147525
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
O1 - Hosts: 81.30.145.178 www.odnoklassniki.ru
O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zxsvvvi.dll
2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\tkxdalb.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zxsvvvi.dll','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zxsvvvi.dll');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\tkxdalb.exe');
 DeleteFile('C:\WINDOWS\Tasks\etesdpk.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5.
Цитата:
Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.
Пожалуйста обновите базы и сделайте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

letosan 10-05-2013 15:18 2147620
Вложений: 3
проблема устранена, видимо. rsit почему-то не создал по второму разу лог, который info. может, так и надо? остальные прилагаю, карантин отправил по форме.

shestale 10-05-2013 15:44 2147631
Еще нужен лог п.6

letosan 10-05-2013 17:21 2147669
Вложений: 2
вот

shestale 10-05-2013 17:38 2147676
Удалите в МВАМ только эти строки:
Цитата:
HKCU\Software\Microsoft|setiasworld (Malware.Trace) -> Параметры: av2eykx2ni3rooa1ha3umtglu3kdjae -> Действие не было предпринято.
HKCU\Software\Microsoft|bk (Malware.Trace) -> Параметры:
-> Действие не было предпринято.
C:\Program Files\The first evidence\Guatemala is a magical (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\The first evidence\Guatemala is a magical\ee (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Documents and Settings\Ирина\1075826.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files\The first evidence\Guatemala is a magical\08a4415e9d594ff960030b921d42b91e.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\The first evidence\Guatemala is a magical\ee\63c4da4fde984fa5c719cdcf2147ab7f.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\The first evidence\Guatemala is a magical\ee\87dba6b5e5e739d7a8506bbceb19e4be.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\The first evidence\Guatemala is a magical\ee\she.he (Trojan.Agent.VBS) -> Действие не было предпринято.
Если проблем больше нет, тогда:
Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после лечения

letosan 10-05-2013 18:19 2147690
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 11.05.2013 01:16:45
Program directory: C:\Documents and Settings\Ирина\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.0
Диск C:\ ФС: NTFS Емкость: (111.8 Гб) Занято: (85.7 Гб) Свободно: (26.1 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 26.08.2010 13:44:58
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
ESET Smart Security 4.2
Антивирус устарел
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
TuneUp Utilities v.9.0.4500.27
Ghostscript GPL 8.64 (Msi Setup) v.8.64
-------------Java---------------------------------
Java(TM) 6 Update 35 v.6.0.350 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.1.53.64 Внимание! Скачать обновления
Adobe Flash Player 10 Plugin v.10.1.82.76 Внимание! Скачать обновления
Adobe Shockwave Player 11.5 v.11.5.8.612 Внимание! Скачать обновления
Adobe Reader 9.3.3 Lite — Russian v.9.3.3 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.26.0.1410.64 [+]
Mozilla Firefox 18.0.2 (x86 ru) v.18.0.2 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.26.0.1410.64
C:\Program Files\Internet Explorer\iexplore.exe v.8.0.6001.18702
-------------EndLog-------------------------------

iskander-k 10-05-2013 21:24 2147761
Обновите ПО отмеченное красным

letosan 11-05-2013 16:55 2148129
Всё сделал, вроде. Java опять предлагает переустановить. зачем?
И ещё: можно что-то из всех этих хайджеков,AVZ,Rsit, MBAM и т.д. удалить или всё это пригодится? а то, кажется, ноут немного тормозить стал.

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 11.05.2013 23:43:30
Program directory: C:\Documents and Settings\Ирина\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=4.0
Диск C:\ ФС: NTFS Емкость: (111.8 Гб) Занято: (86 Гб) Свободно: (25.8 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 26.08.2010 13:44:58
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
ESET Smart Security 4.2
Антивирус устарел
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
TuneUp Utilities v.9.0.4500.27
Ghostscript GPL 8.64 (Msi Setup) v.8.64
-------------Java---------------------------------
Java(TM) 6 Update 45 v.6.0.450
Java(TM) SE Development Kit 6 Update 45 v.1.6.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u21-windows-i586.exe)^
Java DB 10.6.2.1 v.10.6.2.1
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.169
Adobe Flash Player 11 Plugin v.11.7.700.169
Adobe Shockwave Player 12.0 v.12.0.2.122
Adobe Reader XI (11.0.02) v.11.0.02
-------------Browser------------------------------
Google Chrome v.26.0.1410.64 [+]
Mozilla Firefox 20.0.1 (x86 ru) v.20.0.1
-------------EndLog-------------------------------

shestale 11-05-2013 17:01 2148135
Цитата:
Цитата letosan
Java опять предлагает переустановить. зачем? »
У вас более старая версия.
Цитата:
Цитата letosan
можно что-то из всех этих хайджеков,AVZ,Rsit, MBAM и т.д. »
Можно все удалить.

letosan 11-05-2013 17:17 2148151
Цитата:
У вас более старая версия.
установил указанную в предыдущем (вчерашнем) логе Security Check . Но, наверное, это не критично?

А вообще - огромное спасибо за помощь! Исключительно точные и корректные инструкции, даже чайнику практически негде затупить. Браво!

regist 11-05-2013 18:00 2148184
Цитата:
Цитата letosan
Java опять предлагает переустановить. зачем? »
это другая Java
вначале было
Цитата:
Цитата letosan
Java(TM) 6 Update 35 v.6.0.350 »
а теперь
Цитата:
Цитата letosan
Java(TM) SE Development Kit 6 Update 45 v.1.6.0.450 »
Ту, что предлагало обновить в первой раз она в предыдущей строчке
Цитата:
Цитата letosan
Java(TM) 6 Update 45 v.6.0.450 »


Время: 01:37.

Время: 01:37.
© OSzone.net 2001-