Решена подозрительный траффик

[urasafe]

Помогите пожалуйста!

при загрузке Гугл появляется сообщение:
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.


Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

яндекс и мейл.ру тоже блокированы.

логи есть.

заранее спасибо!

 

[Ботан]

Приветствую urasafe, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\PROGRA~2\Mozilla\qffksxl.dll','');
 QuarantineFile('C:\Users\1\appdata\roaming\cmedia\cmedia.dll','');
 QuarantineFile('C:\Users\1\applic~1\cmedia\cmedia.dll','');
 QuarantineFileF('C:\PROGRA~2\Mozilla\','*.exe', true,'',0 ,0);
 DeleteFile('C:\PROGRA~2\Mozilla\qffksxl.dll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
-------------------------------------------

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

--------------------------
рекомендую деинсталировать:

Ask Toolbar
SweetIM for Messenger 3.6
SweetPacks Toolbar for Internet Explorer 4.4
Spybot - Search & Destroy

----------------------

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS

-----------------------------

 

[urasafe]

Здравствуйте!
Инструкции выполнены. Спасибо!
ссылка на файл

[url=http://webfile.ru/6585122]Скачать virusinfo_files_1-ПК.zip с WebFile.RU[/URL]

состояние ПК пока без изменений.
жду дальнейших инструкций.

 

[akok]

Выполните скрипт UVS и пришлите карантин

;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
breg
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\ABLEBOOK\DISKCONTROL.EXE
; C:\PROGRAMDATA\MOZILLA\QFFKSXL.DLL
addsgn A7679B19B95E8B37DBD4AEB1640F57E1248AFCF6280A7578956019D650C619503317C33D3EAA88B5488094F75A0649FA17DF176755BEB03C456BB42FC76C228C 64 Mozilla

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\QFFKSXL.DLL
; C:\PROGRAMDATA\MOZILLA\QYVNXZC.EXE
addsgn A7679B19B95E8B37DBD4AEB1640F57E1248AFCF6E126353B853CD0C4729571ED533C80579D9DB70A2B687662B9E9C2F7ADF5AB720432762E2D7727EBC38F6793 16 Mozilla

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\QYVNXZC.EXE
; zoo %SystemDrive%\PROGRAMDATA\MOZILLA\QFFKSXL.DLL
bl 7B96FBB1FBC3440FBD7BFD4C3A18F4CE 55296
; zoo %SystemDrive%\PROGRAMDATA\MOZILLA\QYVNXZC.EXE
bl 5A05E7788E66765017ABD8879AED7E67 276488

chklst
delvir

delref F:\A3G3.BAT
delref G:\AUTORUN.EXE
delref HTTP://WWW.SMAXI.NET
deltmp
restart

После выполнения скрипта компьютер перезагрузится.

Добавлено через 27 секунд
Сообщите, что с проблемами.

 

[regist]

не забудьте потом сделать новый образ автозапуска, а по окончанию лечения сменить пароли.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[urasafe]

посреди выполнения скрипта программа UVS остановилась и выдала сообщение :

С:\PROGRA-2\Mozilla\qffksxl.dll
(вместо знака "-" там такой волнистый)

используется процессом:
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
убить этот процесс?


вот сижу и не знаю, нажать ДА или НЕТ. Подскажите, плиз, а то боюсь напортачить.

это вообще важно для поисков той гадости?

Добавлено через 7 минут 35 секунд
уже вижу, найдено два вируса.

нажала "убить процесс", и тут же выскочило окно с подобным сообщением. может все их и убить?
пардон за, скорее всего, глупые вопросы. ну вот чайник я. ((

Добавлено через 2 минуты 33 секунды
теперь еще пишет, что та же самая гадость загружена в адресное пространство uVS. Далее спрашивает: Выгрузить модуль?

Добавлено через 25 минут 31 секунду
нажала "Выгрузить". сообщение: "Модуль выгрузить не удалось."
потом "убивала" все процессы в ответ на запросы программы. и комп неожиданно вырубился (сказал, что ради собственной безопасности).

запустила программу UVS второй раз. опять начинаются запросы "убить процесс". что делать? закончить и получить карантин не могу.

Добавлено через 20 минут 59 секунд
отчет AdwCleaner загрузила.

 

[urasafe]

упс, не прикрепилось. вот оно:

 

[urasafe]

проблемы разрешены. но карантин программы UVS найти не могу. если это важно, подскажите, как его найти.

 

[regist]

запустите выполнение скрипта uVS ещё раз в безопасном режиме, после этого сделайте свежий лог uVS и прикрепите.

+ Внимание, следующее действие удалит установленные тулбары.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

 

[akok]

теперь еще пишет, что та же самая гадость загружена в адресное пространство uVS. Далее спрашивает: Выгрузить модуль?

Обновите лог UVS проверю, все удалилось.

 

[urasafe]

Спасибо!
Логи прилагаю.

Комп стал сильно торомозить.

И еще UVS во время сеанса написала, что удаляет очень много файлов из нескольких десятков каталогов в \Windows\

 

[akok]

что удаляет очень много файлов из нескольких десятков каталогов в \Windows\

Была проведена чистка временных каталогов, ничего страшного.

Добавлено через 3 минуты 45 секунд
Выполните скрипт UVS

;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
breg
delref %SystemDrive%\USERS\1\CSRSS.EXE


regt 19
restart

После выполнения скрипта компьютер перезагрузится.

Добавлено через 1 минуту 36 секунд
Подготовьте лог SecurityCheck by glax24

Давайте разберемся с тормозами, в чем они выражаются?

Добавлено через 2 минуты 30 секунд
В карантине: Trojan.Win32.ShipUp.dfrf

 

[urasafe]

Прилагаю файлы. НО не уверена, что файл UVS у меня правильный. дело в том, что при запуске (от им. админа) я не успеваю нажать ту кнопку, которая вставляет скрипт, ни ту, которая создает полный образ автозапуска, а программа начинает сразу что-то сканировать без всякого моего вмешательства. может быть, я сбила какие-то настройки. это произошло после того, как я в ответ на запрос программы "убить процесс?" нажала кнопку "отмена". с тех пор это и началось.

насчет тормозов: практически любые программы (включая UVS) или долго запускаются, или запускаются более-менее активно, но потом долго "не отвечают" уже при полученном задании.
Спасибо за помощь!

 

[akok]

Такое чувство, что включился PIO режим.

(свойства) Мой компьютер - Диспетчер устройств - IDE ATA\ATAPI контроллеры - проверяем свойства каналов (двойной клик - дополнительные параметры)

Должно быть так:


Добавлено через 2 минуты 3 секунды
Систему необходимо обновлять, иначе будем часто встречаться

Спойлер: Что исправлять нужно

Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 30.06.2013 13:30:50
Program directory: C:\Users\1\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.6
Диск C:\ ФС: NTFS Емкость: (290.9 Гб) Занято: (286.4 Гб) Свободно: (4.5 Гб)
__________________________________________________

WIN_VISTA(6.0) Build 6001 (x86) HomePremium Lang: Russian(0419)
Дата установки ОС: 13.08.2008 21:10:52
Статус лицензии: Windows(TM) Vista, HomePremium edition Постоянная активация прошла успешно.
Service Pack 1 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 7.0.6001.18000 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-13 23:02:25
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Norton Internet Security
-------------Firewall_WMI-------------------------
Norton Internet Security
-------------AntiSpyware_WMI----------------------
Windows Defender
Norton Internet Security
-------------AntiVirusFirewallInstall-------------
Norton Internet Security v.17.9.0.12
-------------OtherUtilities-----------------------
CCleaner v.3.21
GameSpy Arcade
Wise Registry Cleaner 6.21
-------------Java---------------------------------
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_21-windows-i586.exe^
Java(TM) 7 Update 5 v.7.0.50
Java(TM) 6 Update 5 v.1.6.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player ActiveX v.9.0.115.0 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.8.800.88 [+]
Adobe Shockwave Player v.10.2.0.023 Внимание! Скачать обновления
Adobe Reader 8.1.0 - Russian v.8.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.27.0.1453.116 [+]
Opera 11.01 v.11.01.1190 Внимание! Скачать обновления
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления
Opera 12.02 v.12.02.1578 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.2.1578.0
-------------EndLog-------------------------------

Пройдитесь по ссылкам из лога и обновите софт.

 

[urasafe]

ой, у меня нет вкладки "доп свойства". вот что у меня появляется при открытии дисп. устройств - ... контроллеры.

 

[regist]

подробней читайте в руководстве..

 

[urasafe]

спасибо за руководство. почитала и поняла, что у меня вообще DMA нет или он неактивирован.
сейчас программы, вроде, получше себя ведут - не так тормозят. посмотрю, что будет дальше. обновления выполняю.

Но мне не нравится windows pack2 - судя по описанию, он самостоятельно отправляет разнообразную инфу Майкрософту. у меня-то по старинке - "можно?" - "нельзя" - "ну что ж..." а этот сам, никого не спраивая. Без него действительно никак?

 

[shestale]

Без него действительно никак?

Угу)

Систему необходимо обновлять, иначе будем часто встречаться

 

[akok]

Но мне не нравится windows pack2 - судя по описанию, он самостоятельно отправляет разнообразную инфу Майкрософту.

Так это было и до SP2