Решена Проблема с Google, Yandex и Mail

Статус
В этой теме нельзя размещать новые ответы.

Тимерлан

Новый пользователь
Сообщения
10
Реакции
0
Здравствуйте! При входе на главную страницу google выдает: "Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот." С Yandex и почтой Mail ситуация аналогичная: во всех случаях требует ввода телефонного номера. Видел аналогичные решенные проблемы на форуме, пробовал что-то сам сделать - не вышло. Прошу помощи!
 

Вложения

  • virusinfo_syscheck.zip
    36 KB · Просмотры: 1
  • virusinfo_syscure.zip
    35.6 KB · Просмотры: 5
  • info.txt
    20.2 KB · Просмотры: 2
  • log.txt
    32.5 KB · Просмотры: 4
Приветствую Тимерлан, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Mozilla\nehzorh.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Mozilla\ndmsisb.dll','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Mozilla\ndmsisb.dll');
 DeleteFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Mozilla\nehzorh.exe');
 DeleteFile('C:\WINDOWS\Tasks\qadeqag.job');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

ProxyServer = 192.168.2.60:8080 - вам знакомо ?

208.134.222.222 - вам или вашему провайдеру этот DNS знаком ? Вы из америки ?


Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

-----------------
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  9. Подробную инструкцию читайте в руководстве

----------------------

смените пароли ! по окончанию лечения смените ещё раз !
 
192.168.2.60:8080 - адрес сервера, компьютер подключен к локальной сети
208.134.222.222 указан в настройках в качестве предпочитаемого DNS-сервера (не знаю, что это). Я в России.
 

Вложения

  • info.txt
    20.3 KB · Просмотры: 1
  • log.txt
    32.2 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    33.8 KB · Просмотры: 3
Проблема устранена! Большое спасибо! Однако проверка GMERом не получается - программа на каком-то этапе застопорилась. Это нормально?
 
Однако проверка GMERом не получается - программа на каком-то этапе застопорилась.
попробуйте сделать в безопасном режиме.

+ Профиксите в HijackThis

Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0702E720-94B5-40E7-A2EF-158F8505FD2B}: NameServer = 208.134.222.222,77.87.97.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0702E720-94B5-40E7-A2EF-158F8505FD2B}: NameServer = 208.134.222.222,77.87.97.3

если перестанет работать интернет, то вручную пропишите свои настройки DNS

Добавлено через 1 минуту 30 секунд
Проблема устранена!
пока мы только одного зловреда удалили, а я подозреваю, что у вас там есть и второй.

Добавлено через 2 минуты 24 секунды
+ как понимаю мозилой вы не пользуетесь ? в таком случае вручную удалите папку

Код:
C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Mozilla

её зловред создаёт.
 
попробуйте сделать в безопасном режиме
Попробовал - то же самое

+ Профиксите в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0702E720-94B5-40E7-A2EF-158F8505FD2B}: NameServer = 208.134.222.222,77.87.97.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0702E720-94B5-40E7-A2EF-158F8505FD2B}: NameServer

Сделал

+ как понимаю мозилой вы не пользуетесь ? в таком случае вручную удалите папку

При возникновении обозначенной проблемы мозилла была удалена, поскольку думал, что проблема конкретно в ней. После восстановления сайтов я ее вновь установил. Все-равно удалять папку?
 
После восстановления сайтов я ее вновь установил. Все-равно удалять папку?
в ней хранятся настройки мозиллы, так что раз сайты работают, то не стоит.

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
 
Сделано:
 

Вложения

  • TDSSKiller.2.8.16.0_27.03.2013_11.01.54_log.txt
    82.9 KB · Просмотры: 10
  1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qsus -qmbr -qboot
  2. Запустите файл fix.bat;
  3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  4. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
 
Последнее редактирование:
Тимерлан, я вижу от вас карантин только от 23 марта, продублируйте пожалуйста ещё раз карантин из сообщения №10
 
хм., всё равно не вижу. Ссылку на тему и свой ник вы указали ?

Добавлено через 1 минуту 8 секунд
сегодня вообще ни одного карантина не присылали ;)
 
Ссылку на тему и свой ник вы указали ?
Сделал как написано в сообщении #10 с указанием ссылки. Про ник там не сказано, вроде. Сейчас попробую повторить
 
Тимерлан, загрузите этот карантин сюда

ссылку на скачивание пришлите мне в личные сообщения.
 
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 04.04.2013 16:46:23
Program directory: C:\Documents and Settings\666\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.6
Диск C:\ ФС: NTFS Емкость: (58.6 Гб) Занято: (26.3 Гб) Свободно: (32.3 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 01.08.2008 08:22:49
Service Pack 3
Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Doctor Web Anti-Virus
Антивирус обновлен
Сканирование отключено
AVG AntiVirus Free Edition 2013
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
AVG 2013 v.2013.0.2904
-------------Java---------------------------------
Java(TM) 6 Update 4 v.1.6.0.40 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player ActiveX v.9.0.47.0 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.6.602.180
Adobe Reader XI (11.0.01) v.11.0.01
-------------Browser------------------------------
Mozilla Firefox 16.0.1 (x86 ru) v.16.0.1 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.16.0.1.4666
-------------EndLog-------------------------------

Добавлено через 9 минут 51 секунду
Doctor Web Anti-Virus
Антивирус обновлен
Я что-то не понимаю или программа говорит, что у меня доктор веб установлен? Дело в том, что я его года два как удалил
 
Обновляетесь по ссылкам.
Я что-то не понимаю или программа говорит, что у меня доктор веб установлен? Дело в том, что я его года два как удалил
для удаления его остатков воспользуйтесь утилитой.
Запустите утилиту удаления, введите цифры с картинки и нажмите "Удалить".

Выполните Рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу