Решена И снова про подозрительный трафик

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Sudarev, 12 апр 2013.

Статус темы:
Закрыта.
  1. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Поймал какого-то зловреда, при заходе на страницы гугла, яндекса, соцсетей, и многих популярных сайтов всплывает сообщение:

    "Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
    С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
    Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

    Введите номер телефона."
    Файл хостс чист, доктор вебом проверку сделал, avz тоже, убил пару вирусов, но проблема всё равно остаётся.

    Помогите, пожалуйста. Логи прикладываю, первый раз занимался такого рода диагностикой, но надеюсь, всё правильно сделал)
     

    Вложения:

    • info.txt
      Размер файла:
      34,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      41,7 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      26,4 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      30,3 КБ
      Просмотров:
      5
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Sudarev, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS
     
    3 пользователям это понравилось.
  4. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Спасибо за совет, в данное время нет возможности проделать данный манёвр, так как я уехал из города, ну и от компа соответственно. В понедельник приложу лог. :)
     
  5. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Прикладываю лог uvs
     

    Вложения:

  6. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.77.9 script [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1

      zoo %SystemDrive%\PROGRAMDATA\MOZILLA\YOKHQSN.DLL
      delall %SystemDrive%\PROGRAMDATA\MOZILLA\YOKHQSN.DLL
      zoo %SystemDrive%\PROGRA~3\MOZILLA\LIDMUBB.EXE
      delall %SystemDrive%\PROGRA~3\MOZILLA\LIDMUBB.EXE
      czoo
      deltmp
      restart
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.
     
  7. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Всё сделал, как написано в инструкции.
    Дело в том, что мой браузер не мозилла, а хром.
    Возможно, поэтому в полученном в результате выполнения действий файле написано:
    Инф. о файле Не удается найти указанный файл.
    Цифр. подпись проверка не производилась

    Вобщем, файл отправил и на почту, и прикладываю к этому сообщению.
    Пароль virus
     

    Вложения:

  8. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    эта зараза создает в системе папку MOZILLA и копирует туда свои файлы..

    наличие одноименного браузера не столь важно

    а зачем вы мне прислали карантин? его надо отослать, как написано в предыдущем посте

    новый лог uVS выполните и приложите
     
  9. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Карантин я отправил так, как написано в инструкции, на всякий случай приложил ещё и к посту.
    Какой новый лог uvs? Можно подробнее?
    И что теперь делать? Ждать дальнейших инструкций?
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  11. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Прикладываю новый лог uvs:
     

    Вложения:

  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.77.10 script [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1

      zoo %SystemDrive%\PROGRA~3\MOZILLA\YOKHQSN.DLL
      delall %SystemDrive%\PROGRA~3\MOZILLA\YOKHQSN.DLL
      restart
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.
    --------------------------

    смените пароли.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  13. Sudarev
    Оффлайн

    Sudarev Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    С помощью uVs выполнил то, что описано постом выше, но никакого нового архива zoo у меня не появляется, и папка zoo пуста.
    Самое интересное, что проблема, похоже, исчезла.
    Теперь заходит на все сайты с помощью хрома, как и раньше)
    Это значит всё, лечение закончено?)

    Вот лог из SecurityCheck by glax24:

    Security Check by glax24 version 0.1.6.54 rc1
    WebSite: www.safezone.cc
    DataLog 22.04.2013 00:19:56
    Program directory: C:\Users\Sudarev\AppData\Local\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: False
    XML File - VersionInet=4.0
    Диск C:\ ФС: NTFS Емкость: (220.2 Гб) Занято: (110.5 Гб) Свободно: (109.7 Гб)
    __________________________________________________

    WIN_7(6.1) Build 7601 (x64) HomePremium Lang: Russian(0419)
    Дата установки ОС: 03.06.2012 12:49:13
    Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
    Service Pack 1
    Internet Explorer 9.10.9200.16540
    -------------Windows------------------------------
    Контроль учётных записей пользователя включен
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-04-11 07:39:44
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    Dr.Web Anti-virus
    -------------Firewall_WMI-------------------------
    -------------AntiSpyware_WMI----------------------
    Dr.Web Anti-virus
    Windows Defender
    -------------AntiVirusFirewallInstall-------------
    Dr.Web Agent v.6.02.0.201303210
    -------------Browser------------------------------
    Google Chrome v.26.0.1410.64 [+]
    -------------RunningProcess-----------------------
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.26.0.1410.64
    -------------EndLog-------------------------------
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
Статус темы:
Закрыта.

Поделиться этой страницей