Подозрительная активность, запросы capcha и блокировки

[Alice16]

Здравствуйте! При поисковых запросах в поисковиках google, yandex периодически запрашивает капчу и сигналит о подозрительном трафике, исходящем из нашей сети. Бывали также по этой причине блокировки на авито и еще нескольких сайтах баны, причем те сайты вообще нами не посещались в это время, а спам с нашего ip автоматически исходил, как нам сказали. Причем такое происходит независимо от браузера и устройства, с которого осуществляется вход. Сеть дома wifi, через модем --> роутер, который в настоящее время защищен шифрованием wpa2 + ограничение подключения по mac адресам наших устройств. IP статический.
Логи в данной теме представлены пока с основного ноутбука, на котором было выявлено больше всего вредоносных программ, пришлось даже просить переустановить windows. Надеюсь на вашу помощь, тк приняли уже много мер и проблема не уходит, не можем разобраться, в чем дело. Заранее извиняюсь за длинный текст ниже, просто постаралась наиболее подробно описать суть проблемы, соблюдая хронологию по пунктам, в конце то, что происходит с компьютером на данный момент.

Предыстория:
Около месяца назад случайно обнаружили блокировку аккаунта на приставке PS3, которую не включали пару месяцев до этого, после общения с техподдержкой выяснилось, что ip в черном списке из-за спама, исходящего с него. Решили, что это какая-то ошибка и оттуда попросили его убрать, но временные блокировки продолжались, из-за чего пришлось обратиться к провайдеру, а он посоветовал заглянуть в настройки роутера и проверить компьютеры на вирусы.

1.Начали с роутера. Несмотря на сложный пароль от вай фай и приличный метод шифрования, обнаружили взлом нашей сети, был изменен пароль для входа в админку роутера и обнаружили несколько не наших устройств, прямо висящих в списке пользующихся в данный момент. Скинули настройки, установили новый пароль от админки, настроили дополнительные методы защиты (ограничение по мак адресам), встроенный фаервол.
У нас в доме 7 устройств, два из них ноутбуки на windows, остальные устройства это приставка, которая включается редко и телефоны/планшет на ios. Уже после прописанных mac адресов наших устройств заметила закономерность: после подключения к интернету ноутбука, по которому сейчас отправляю запрос на помощь в этой теме, в списке пользующихся сетью вновь появлялись два незнакомых устройства с собственными мак адресами, несмотря на то, что адрес ноутбука в этом списке прописан отдельной строкой и стоит ограничение по mac. Когда именно этот ноутбук был отключен от интернета, они не появлялись.

2. Решили проверить ноутбуки на вирусы, хотя на обоих стоят KIS с высокой степенью защиты и часто делаются полные проверки. Ничего не нашлось, а вот утилитой KVRT нашелся троян на обоих ноутбуках, тут же и Kaspersky Internet Security просигналил об этом и удалил. Но проблема не решилась, блокировки оставались, а к ним добавились и постоянные капчи в поисковиках.
Еще на данном ноутбуке стали постоянно выскакивать уведомления об успешном подключении к нему неизвестных bluetooth устройств, хотя мы не используем ни одно такое устройство с технологией bluetooth. Пробовала отключать их через диспетчер задач, и тогда тут же статус неизвестных устройств в роутере менялся на expired и при перезагрузке роутера они исчезали вовсе. В этом я, конечно, ничего не понимаю, но, могло ведь такое быть, что какой-то вирус запускал постоянно эти устройства и они имели собственный мак адрес и использовали наш интернет? Однако после отключения они вновь устанавливались и подключались автоматически, пробовала удалять все папки с их драйверами, но они восстанавливались, проблему вроде как решило отключение модуля bluetooth через Службы компонентов.

3. Скачали на ноутбуки утилиты, dr.web cureit, hitman, mbam anti-malware, adwcleaner, ccleaner. Др. веб на данном пк нашел внушительное количество каких-то mutahaba и поудалял их, хитман и остальные нашли тоже какие-то программы, рассылающие рекламу вроде как, поудаляли их все, CC клинером почистили куки, кэш, ошибки реестра.
В роутере все чисто, никаких подозрительных устройств, но ситуация будто еще больше усугубилась, помимо сообщений о подозрительном трафике с нашей сети,при открытии браузера Chrome стало вместо открытия некоторых страниц предлагать скачать их и открыть как файл. Иногда адрес был с этого же сайта, иногда вовсе пытаешься открыть гугл, а предлагает что-то скачать из youtube.
Решили установить mozilla, но в нем такая же проблема. Удалили тогда оба браузера, вручную почистили все их папки, но переустановка не решила проблемы. По советам проверяли файл hosts, все было в норме. Антивирусы и утилиты ничего больше не находили. Тогда мы попросили человека поставить нам новый windows.

4. На всех устройствах, которые покдлючены к вайфай, на всякий случай обновили прошивки, скинули настройки к заводским, а в случае планшета еще и стерли все файлы, тк в нем как-то осел троян для windows (не понимаю, как это вообще возможно) и появлялся на другом ноутбуке именно после синхронизации с компьютером в папке резервной копии.

5. На данный момент стоит чистый windows 7, 64 максимальный, браузеры никакие кроме IE не ставили, лишних программ кроме антивирусных тоже нет, но иногда в поисковиках по-прежнему выскакивает capcha и подозрительная активность, рекомендации все те же: проверка на вирусы и отключение vpn (последнее мы не используем, на вирусы проверено и вроде как все почищено). Антивирус нам поставили avast, сразу же начали с проверки дисков c и d и он находит червь, расположение: файл hosts, системная папка, при этом ни одни из других программ их ранее не находили даже на старом windows. Аваст на любые действия с ним почему-то отвечал отказом, тогда вручную решили открыть файл hosts в блокноте. В нем непонятные dns серверы, все лишнее стерли и заменили тем, что должно быть в норме на win 7.Проверили снова, ничего не находит больше. Но назойливая капча нет-нет да и вылезет даже сейчас в гугл или яндекс, а с одного телефона прямо постоянно. В логах роутера при его включении появляется куча каких-то одобренных и отклоненных пакетов от неизвестного мне ip 172..., хотя наши внутренние ip начинаются с 192..., а внешний статический ip на 188... где-то пол часа - час по логам это длится после включения роутера, не понимаю с чем это связано, может так и должно быть, но точно не знаю и об этом тут просто упоминаю. Надеемся, что в это всем кто-то сможет разобраться, второй ноутбук после чисток пока не включаем совсем, то есть в сеть только с этого пока выходим и портативных устройств.

По инструкции сделали полную проверку авастом, ничего не нашлось, затем в безопасном режиме сканировали KVRT и Cureit, все чисто.
Прикладываю логи AVZ и HJT, запущенные от администратора при выключенном антивирусе.

[Info_bot]

Уважаемый(ая) Alice16, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Внешний ip роутера сообщите мне в личном сообщении.

- - - - -Добавлено - - - - -

C роутером порядок.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Alice16]

Спасибо за оперативный ответ, вот архив FRST

[Vvvyg]

Чисто.

Avast замените актуальной версией, 4.8 на современных системах нормально не работает.

Капча, видимо, последствия попадания в чёрные списки после взлома, рассосётся постепенно.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[Alice16]

Папку удалили, рекомендации выполнили. Капча не уходит, решили ждать, но снова бан на сервере sony, приставку не включали вообще эти дни, в роутере никаких подключений нет, в нем точно не может быть проблемы? откуда бан тогда за спам снова

[Vvvyg]

Часто банят не конкретные адреса (много чести), а целые подсети. Обратитесь в техподдержку Sony с конкретным вопросом.

[Alice16]

такс.. обратилась уже в 10й раз, они сказали, что эта блокировка автоматическая, при рассылке спама, подозрительной активности, ну и так как ip статический, то проблема точно с нашей стороны, а не их или кого-то другого( то есть они убирают каждый раз его вручную из ЧС, но говорят, что в случае повторения снова автоматом туда попадает, подали заявку на снятие оттуда снова.
Вспомнила, что за последние 2-3 дня включали второй ноутбук и выходили в сеть, может, на нем тоже зараза скрытая? чтобы проверить, нужно выполнить те же действия и создать новую тему или в этой можно?

[Vvvyg]

Новый ноутбук - новая тема.
Эту закроем тогда.

[Alice16]

хорошо, благодарю за консультацию, открою новую с линком на эту.

[Vvvyg]

Выполните рекомендации после лечения.