Решена Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.

Статус
В этой теме нельзя размещать новые ответы.

DukaS7

Новый пользователь
Сообщения
8
Реакции
0
Добрый день.

Появилась проблема: при запуске гугла и пр. появляется такое сообщение.

Нужна помощь.
 

Вложения

  • virusinfo_syscheck.zip
    33.8 KB · Просмотры: 5
  • virusinfo_syscure.zip
    34.1 KB · Просмотры: 1
  • info.txt
    24.8 KB · Просмотры: 0
  • log.txt
    21.2 KB · Просмотры: 1
Приветствую DukaS7, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
DukaS7, нужно переделать логи AVZ обновленной версией программы со свежими базами (файл - обновление баз)
 
Не получается обновить..
 

Вложения

  • 1.jpg
    1.jpg
    89.4 KB · Просмотры: 52
  • 2.jpg
    2.jpg
    89.5 KB · Просмотры: 60
ну, правильно, потому что
нужно переделать логи AVZ обновленной версией программы
у вас даже не прошлая, а позапрошлая версия программы, а нужно скачать актуальную о чём на скринах с ошибками и написано.
 
а теперь?
 

Вложения

  • log.txt
    23.1 KB · Просмотры: 0
  • info.txt
    24.8 KB · Просмотры: 0
  • virusinfo_syscure.zip
    26.9 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    26.2 KB · Просмотры: 1
1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~2\Mozilla\phdbalk.exe','');
 QuarantineFile('c:\progra~2\mozilla\cxxhtik.dll','');
 DeleteFile('c:\progra~2\mozilla\cxxhtik.dll','32');
 DeleteFile('C:\PROGRA~2\Mozilla\phdbalk.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\nbdqwmn','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ и RSIT и смените пароли

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

+ Присутствует адварь (рекламное ПО). Удалять будем?
 
Какие пароли нужно сменить?
 

Вложения

  • log.txt
    21.3 KB · Просмотры: 0
  • info.txt
    24.8 KB · Просмотры: 0
  • virusinfo_syscure.zip
    21.9 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    21 KB · Просмотры: 1
+ Присутствует адварь (рекламное ПО). Удалять будем?

Да.
 

Вложения

  • MBAM-log-2013-08-25 (05-46-00).txt
    24.9 KB · Просмотры: 2
пароли от веб ресурсов, почты и тд

1. из найденного удалите:

Обнаруженные процессы в памяти: 2
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe (PUP.Optional.BrowserDefender.A) -> 1576 -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe (PUP.Optional.BrowserDefender.A) -> 2484 -> Действие не было предпринято.

Обнаруженные модули в памяти: 1
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.

Обнаруженные ключи в реестре: 6
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4f12-8568-69135F087DB0} (PUP.Optional.Bandoo.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr) -> Действие не было предпринято.
HKCU\Software\DataMngr (PUP.Optional.DataMngr) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Параметры: http://www1.delta-search.com/?babsrc=HP_ss&mntrId=5AB9001D7DA4DE88&affID=119776&tsp=4973 -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Параметры: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1M1F1J1T -> Действие не было предпринято.

Объекты реестра обнаружены: 10
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs (PUP.Optional.BrowserDefender.A) -> Плохо: (c:\progra~2\browse~2\261519~1.190\{c16c1~1\browse~1.dll) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://search.certified-toolbar.com...2105135&tguid=41460-2933-1363692103481-983956) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com...=41460-2933-1363692103481-983956&st=chrome&q=) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

Обнаруженные папки: 8
C:\Users\Duka\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8} (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\Users\Duka\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Duka\AppData\Roaming\OpenCandy\D6927ACC9283472A931D36E9282ECC57 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files\Ln\Dc (Trojan.Agent.VBS) -> Действие не было предпринято.

Обнаруженные файлы: 47
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\Users\Duka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G5VA98QT\pack[1].7z (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Users\Duka\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\bl (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.settings (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\dm (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension\bprotector.js (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\00 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\01 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\02 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\03 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\10 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\11 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\12 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\13 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\20 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\21 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\22 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\ProgramData\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\traking_settings\23 (PUP.Optional.BrowserDefender.A) -> Действие не было предпринято.
C:\Users\Duka\AppData\Roaming\OpenCandy\D6927ACC9283472A931D36E9282ECC57\PasswordBoxCHSTORE_p1v0.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files\Ln\Dc\bolshoi_chlen.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\Ln\Dc\dostoini.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\Ln\Dc\kukuruzer_toy_land_cruzer.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\Ln\Dc\nakurka.alks (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\Ln\Dc\poluchis.dja (Trojan.Agent.VBS) -> Действие не было предпринято.

лог после удаления (откроется сразу) выложите.

если хотите оставить себе BrowserDefender, OpenCandy и http://search.certified-toolbar.com в качестве стартовой страницы IE - не отмечайте эти строки.

2. для очистки от адвари сделайте лог этой программы
 
Вот
 

Вложения

  • mbam-log-2013-08-25 (23-35-26).txt
    26 KB · Просмотры: 2
  • AdwCleaner[R1].txt
    3.9 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (by Xplode), нажмите кнопку нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

сделайте новый лог сканирования MBAM.
 
А теперь?
 

Вложения

  • AdwCleaner[S1].txt
    3.5 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу