Решена Мы зарегистрировали подозрительный трафик

Статус
В этой теме нельзя размещать новые ответы.

problemmen

Новый пользователь
Сообщения
6
Реакции
0
Скачал с сайта hттp://pianinor.ru/ соответствующую программу что повлекло за собой блокировку google.ru, yandex и всего остального. Предлагает отправить смс на номер 4012. Побывал выполнить скрипты из похожих тем, но все четно.
 

Вложения

  • virusinfo_syscheck.zip
    15.4 KB · Просмотры: 2
  • virusinfo_syscure.zip
    15.4 KB · Просмотры: 3
  • info.txt
    15.6 KB · Просмотры: 1
  • log.txt
    28.2 KB · Просмотры: 2
Последнее редактирование модератором:
Приветствую problemmen, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код:
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
 ADirName := NormalDir(ADirName);
 FS := TFileSearch.Create(nil);
 FS.FindFirst(ADirName + '*');
 while FS.Found do
  begin
    SetStatusBarText(ADirName + FS.FileName);
    if FS.IsDir then
     begin
       if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then 
         ScanDir(ADirName + FS.FileName, AScanSubDir)
     end
    else
      AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
            
    FS.FindNext;
  end;
 FS.Free;
end;

begin
 ClearLog;
 ScanDir('C:\Documents and Settings\andy\Application Data\smsm', true); 
 SaveLog(GetAVZDirectory + 'MD5&Size.txt');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\uyqjsrc.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\uyqjsrc.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\snsqttm.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ и RSIT. выложите файл MD5&Size.txt из папки с авз

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4/ смените пароли
 
Последнее редактирование:
Готово
 

Вложения

  • MD5&Size.txt
    1.5 KB · Просмотры: 4
  • MBAM-log-2013-10-04 (15-42-58).txt
    4.4 KB · Просмотры: 2
После установки Mal warebytes постоянно выскакивают окошки ( sd.jpg ).
 

Вложения

  • sd.JPG
    sd.JPG
    8 KB · Просмотры: 40
  • info.txt
    16.6 KB · Просмотры: 0
  • log.txt
    28.9 KB · Просмотры: 2
  • virusinfo_syscure.zip
    14.8 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    14.8 KB · Просмотры: 1
вам известно что у вас в папке:C:\Documents and Settings\andy\Application Data\smsm ?

C:\Documents and Settings\andy\Application Data\smsm\img\favicon.png
C:\Documents and Settings\andy\Application Data\smsm\img\icon128.png
C:\Documents and Settings\andy\Application Data\smsm\img\icon32.png
C:\Documents and Settings\andy\Application Data\smsm\img\icon48.png
что это за иконки?

Из найденного MBAM удалите это:
C:\Documents and Settings\andy\Application Data\Thinstall\office\1000000b00002i\rundll32.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\andy\Application Data\Thinstall\office\400000e100002i\firefox.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\andy\Application Data\Thinstall\office\600000600002i\cnmseb5.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\andy\Рабочий стол\Другое\Софт\Базовое\DTLite4453-0297.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
лог после удаления выложите

выскакивают окошки ( sd.jpg ).
не обращайте внимание.

отпишитесь о проблеме
 
Первый раз вижу эти иконки.
А что будет с Зевсами и еще парой ? Их предлагаете не трогать ?
 

Вложения

  • derection.JPG
    derection.JPG
    13.3 KB · Просмотры: 38
  • Zeus.bmp
    140 KB · Просмотры: 2
  • mbam-log-2013-10-04 (17-59-13).txt
    4.4 KB · Просмотры: 1
А что будет с Зевсами и еще парой ?
они в точках восстановления и сейчас не активны (т е обезврежены). точки восстановления трогать пока не нужно, вы потом их удалите вместе с зевсами и прочим.

раз не ваше, удалите целиком эту папку - C:\Documents and Settings\andy\Application Data\smsm

проблема решена?
 
они в точках восстановления и сейчас не активны (т е обезврежены). точки восстановления трогать пока не нужно, вы потом их удалите вместе с зевсами и прочим.

раз не ваше, удалите целиком эту папку - C:\Documents and Settings\andy\Application Data\smsm

проблема решена?

Да, все работает, спасибо !
 
для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Добавлено через 57 секунд
Потом - инструкции после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу