Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. (http://forum.oszone.net/showthread.php?t=261984)

Downlink 06-06-2013 15:23 2163335
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
 
Добрый день.

Появилась проблема: при запуске гугла и пр. появляется такое сообщение

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.

Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

Подскажите, пожалуйста, что это и как вообще с этим бороться.

Sandor 06-06-2013 15:31 2163340
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Downlink 06-06-2013 16:01 2163351
Зависло на этой стадии и дальше продолжать не хочет: http://floomby.ru/s1/2aTMzD

Что делать?

Sandor 06-06-2013 16:08 2163356
Вместо RSIT подготовьте лог HiJackThis.

Downlink 06-06-2013 16:57 2163385
Вложений: 3
Вроде вот так.

Sandor 06-06-2013 17:10 2163389
Сделайте дополнительно лог:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

Downlink 06-06-2013 17:23 2163391
Вложений: 1
Вот.

Sandor 06-06-2013 17:38 2163400
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1

    breg
    zoo %SystemDrive%\PROGRAMDATA\MOZILLA\MIBRSYF.EXE
    addsgn A76592C9D486E8720BD469341C37EDFA248AFCF66157E2877A4605C92D5BF438DCE83C907A7195092B8084160232454237FEA8727832A66C2DB0A00B2F106273 8 Troyan.Mods

    addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C3552CC0D6947D2C424AACBE219555766B001703174D82915463B297D2812D59022FAA223767B2 64 C:\PROGRAMDATA\MOZILLA

    zoo %SystemDrive%\PROGRAMDATA\MOZILLA\XCCHYIJ.DLL
    bl CCA2C61FAAD1497B119787E0CF805FDA 132120
    delall %SystemDrive%\PROGRAMDATA\MOZILLA\MIBRSYF.EXE
    bl 14FA999A8C9141E7986D744432C5BCC4 21504
    unload %SystemDrive%\PROGRAMDATA\MOZILLA\XCCHYIJ.DLL
    delall %SystemDrive%\PROGRAMDATA\MOZILLA\XCCHYIJ.DLL
    chklst
    delvir
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите для контроля полный образ автозапуска в uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
Цитата:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

Downlink 07-06-2013 14:51 2163834
Хорошо, сейчас попробую.

А вообще, от чего это возникло?

И еще. Хочу переустановить windows, подскажите, это поможет решить проблему или все останется также?

regist 07-06-2013 16:53 2163901
У вас заражение довольно популярным нынче вирусом. Перестановка виндоуса поможет, но зачем так радикально ? Пара скриптов и все следы зловреда будут удалены ;).

Downlink 09-06-2013 08:32 2164713
Дело в том, что уже давно планировал. Ну, это уже мои личные заморочки:)

Подскажите, появляется куча вот таких окон: http://gyazo.com/2381ab91eeea09eb31d823d83f1e0318

Что делать?

iskander-k 09-06-2013 14:57 2164879
логи сделайте

Downlink 15-06-2013 14:46 2168087
Цитата:
Цитата Sandor
Прошу учесть, что компьютер может быть перезагружен. »
Дошел до этого, ноутбук перезагрузился, стало все работать. Еще что-то нужно сделать?

regist 15-06-2013 15:02 2168097
про перезагрузку написано в пункте №5 выполняйте остальные указания из того поста.

iskander-k 15-06-2013 20:11 2168253
Цитата:
Цитата Downlink
Еще что-то нужно сделать? »
Цитата:
Цитата iskander-k
логи сделайте »

Downlink 16-06-2013 09:55 2168413
Так у меня же все почистилось, нужно ли?:)

thyrex 16-06-2013 10:46 2168444
Нужно


Время: 09:42.

Время: 09:42.
© OSzone.net 2001-