Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Зарегистрирован подозрительный трафик (http://forum.oszone.net/showthread.php?t=261055)

makar_GCD 22-05-2013 22:24 2154295
Зарегистрирован подозрительный трафик
 
Здравствуйте! Возникла проблема, такая же, как в большинстве предыдущих постов. При попытке зайти на Google возникает сообщение:

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

Как я понял, решение проблемы индивидуально. Прилагаю нужные вроде как файлы.
Заранее спасибо.

Sandor 22-05-2013 22:55 2154323
Здравствуйте!

Сделайте дополнительно лог:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

makar_GCD 23-05-2013 00:52 2154417
вот

makar_GCD 23-05-2013 00:54 2154419
вот дополнительный лог

Sandor 23-05-2013 09:13 2154527
  1. Закройте все программы (обязательно!), временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.77.16 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1

    breg

    zoo %SystemDrive%\PROGRAMDATA\MOZILLA\TYQCBDC.EXE
    addsgn A76592C9D486E8720BD469341C37EDFA258AFCF661D1E0877A4605C92D5BF438DCE83C907A7195092B8084160232454243FFA8727806A56C2DB0A00B1B136273 8 C:\PROGRAMDATA\MOZILLA

    addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C39035B5559D54E413E7573E559DB63E7C449E56468EBE59DBE87255DA77280977A42FC7F9378B 64 Trojan.Mods.2 [DrWeb]

    zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BORDHOI.DLL
    delall %SystemDrive%\PROGRAMDATA\MOZILLA\BORDHOI.DLL
    delall %SystemDrive%\PROGRAMDATA\MOZILLA\TYQCBDC.EXE
    delall WWW.APEHA.RU
    chklst
    delvir
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите лог uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
Цитата:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

makar_GCD 23-05-2013 23:11 2155137
Во время выполнения скрипта в uVS всплывало вот такое сообщение:

C:\PROGRA~2\Mozilla\bordhoi.dll используется процессом C:\WINDOWS\SYSTEM32\SVCHOST.EXE. Убить этот процесс?

Вы сказали ничего не удалять, я решил нажать Отмена, но выполнение скрипта все равно продолжилось. Как я понял, этот файл был удален после перезагрузки. ZOO-архив отправил на указанный ящик.

После этого Google стал вроде как работать нормально и проблему наверно можно считать решенной. Но, видимо, это поспешный вывод.

Прикрепляю повторный лог uVS и лог MBAM

regist 23-05-2013 23:17 2155142
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
C:\Users\makar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EX06RK01\realtek_ac_97_audio_driver_for_windows_7[1].exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
C:\Users\makar\Desktop\realtek_ac_97_audio_driver_for_windows_7.1.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

----------------------------------
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

---------------------

что с проблемой ?

смените пароли.

makar_GCD 27-05-2013 16:17 2157182
Удалил. Вот новый лог от MBAM.
Также вот лог от секюрити чек.
Проблема с поисковиками была решена еще на предыдущем этапе. Тему можно отмечать решенной?

Sandor 27-05-2013 16:31 2157195
Обновите:

-------------AdobeProduction----------------------
Adobe Reader 8 v.8.0.0 Внимание! Скачать обновления

MBAM можно деинсталлировать.

Рекомендации после лечения.

Цитата:
Цитата makar_GCD
Тему можно отмечать решенной? »
Да, удачи!

makar_GCD 27-05-2013 16:58 2157215
Большое спасибо! Напоследок не могли бы вы порекомендовать антивирус, такой чтобы не шибко тормозил работу системы. У меня стоял Симантек, и система здорово висла. Сейчас ничего не стоит, рассчитывал обезопасить себя тем, чтобы просто не лазить по неизвестным сайтам. Но видимо после этого случая придется что-то поставить.

regist 27-05-2013 17:12 2157222
насчёт антивируса почитайте этот раздел, какой именно выбрать это я советовать не в праве.

makar_GCD 27-05-2013 18:05 2157264
Спасибо!


Время: 18:27.

Время: 18:27.
© OSzone.net 2001-