Что- то вырывается с компьютера по портам TCP 80 и 443, но только на информационных сайтах.

Вобщем буду краток (если нужна пред история моих действий- я готов описать). Давно уже не на что не жаловался, а если и жаловался- то все проблемы решал сам и друзьям помогал. Не понравилась мне работа моего компьютера. Поставил S&D для проверки на шпионское ПО, проиммунизировал систему и при каждом выходе на новостные сайты (mail.ru, yandex.ru, rambler.ru, google.com, lenta.ru и другие аналогичные сайты APS (сканер портов начинает периодически ругаться на 007guard.com по https: на 443-й порт и по http: на 80- ый). Но фишка в том, что S&D после иммунизации- заблокировал 007guard.com в файле host через 127.0.0.1 и вместе с ним ещё хренову тучу ссылок. И как я понимаю APS начинает ругаться на атаку хакера воспринимая обращение моего компьютера к самому себе. Значит у меня с компа что- то пытается вырваться наружу, но только при определённых условиях? В нете ничего не нагуглил. В общем не одна утилита- ничего не обнаруживает ни в безопасном режиме ни в обычном, rootkit_revealer просто не запускается. UVS- вроде тоже ничего подозрительного не показал. Вот логи проверки в AVZ с отключенным инетом и подключенным, а так же HJ_this. Может конечно моя жалоба и не стоит беспокойства, но уж больно не стабильно всё это происходит, как- то хаотично.

Уважаемый(ая) [B]motorist79[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте! Деинсталлируйте Spybot - Search & Destroy 2

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Evgeniy\AppData\Roaming\VHOVGL.exe','');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Roaming\VHOVGL.exe','32');
DeleteFile('C:\WINDOWS\Tasks\VHOVGL.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Прокси ваш?

[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.79.35.98:1320


[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Выполнил затребованные Вами действия. Вы уж уточняйте, что 1- ый скрипт необходимо выполнять при подключении к интернету, а то я отключил шнур и при выполнении у меня система рухнула выдав ошибку типа kernel_system_check_falure. Прокси я писал после того, как при попытки входа на сайт lostfilm.tv появилась надпись, что сайт заблокирован в связи с нарушенем прав правообладателей. Сейчас прокси выключен по крайней мере в графическом режиме. Прислать карантин не могу, потому как недопонял до этого и днём отправил карантин до этих действий. Прикладываю логи. Могу ещё htm сканера портов AVZ где он видит- то трояна, то бэкдора для достоверности приложить.

Больше плохого по логам не видно.

[QUOTE=mike 1;1210132]Больше плохого по логам не видно.[/QUOTE]
Вопрос ещё не закрыт. APS как ругался- так и ругается. Запустил KasVRT с запущенными браузерами и периодически обновлял страницы или переходил по новостным ссылкам. Сканируется уже 16 с лишним часов, обнаружил 47 обьектов. Как закончит пришлю логи и результат. 08.01 из безопастного режима при простой проверке ни KasVRT ни CureIT ничего не выявили. А пока вот лог APS с данными о его ругательствах.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В общем VRT ничего толкового не нашёл и рухнул при завершении скана. Лог приложил. Хряпнул я свеже скачанным Хай Джеком пару файлов( которые мне не понравились) R3 - Default URLSearchHook is missing вроде и автозапуск игрового центра mail.ru (который у меня удалён). После такого фикса у меня пропал Интернет Эксплорер с панели быстрого запуска и из плитки Metro (Windows 8.1). Поиск через выполнить и компьютер- эксплорера не нашёл, а в ProgramFiles и ProgramFiles(x86)- он есть. Попробовал отключит, а потом подключить через компоненты Windows (с перезагрузкой конечно). Эффект=0. При выборе справки на сайте Microsoft- IE запускается и все данные в нём без ущерба остались. В ProgramFiles через контекст выбираю "отображать на панели быстрого запуска" и у меня появляется ярлык Яндекс браузера почему- то на панели. То- же самое через ProgramFiles(Х86) и появляется ярлык IE. Вес у них. В (х86)- 797kb, а в (х64)-795kb. IE- вернул на места, но почему у меня в панели быстрого запуска ярлык яндекса вместо ярлыка IE появляется в версии х64?

[QUOTE]Хряпнул я свеже скачанным Хай Джеком пару файлов[/QUOTE]
Я же вам сказал, что логи у вас в порядке.

[QUOTE]После такого фикса у меня пропал Интернет Эксплорер с панели быстрого запуска и из плитки Metro (Windows 8.1).[/QUOTE]
Теперь расхлебывайте.

Расхлёбывать тут нечего, всё восстанавливается в два клика (в предыдущем сообщении написал). Пока тут утомлять не буду. Только заметил закономерность, что APS ругается на сайты заблокированные в файле hosts только на сайтах с избытком рекламы и контекста. Я не утверждал с самого начала, что у меня сидит какая- то гадость на компьютере. Оно может и официально- легальное, но меня напрягает, что что- то под шумок кидает запросы на удалённые порты TCP 80 или 443 (при обращении к определённым страницам через все возможные браузеры) без моего ведома и никто не может про это ничего объяснить. Поскольку я не IT-специалист и не программист- то привык решать все проблемы без переустановки системы и находить ответы на вопросы. Там где IT-специалисты говорят переустанови систему- я нахожу решения без этого варианта и ответы на вопросы.