-
Junior Member
- Вес репутации
- 57
Начинает тормозить интернет из-за множества соединений
Здравствуйте!
Помогите, пожалуйста, определить вредоносные действия на моём ноутбуке. Начинает тормозить интернет. Провайдер сообщил мне о множестве соединений с моего компьютера. Соединения по портам чуть ли не подряд от 0 до 65535. Проверял антивирусом KES со свежими обновлениями. Потом проверил CureIt! свежей загрузки. Действую по правилам и уже подошёл к моменту написания новой темы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) cerberus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте,
- Подготовьте новый лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57
Здравствуйте!
См. вложение.
-
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57

Сообщение от
SQ
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Готово! См. вложение.
-
- Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57
Выполнил сканирование Farbar Recovery Scan Tool. См. вложение.
-
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
FF HKU\S-1-5-21-4001332773-3622390879-3992281132-1000\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Internet Download Manager\idmmzcc2.xpi => not found
FF HKU\S-1-5-21-4001332773-3622390879-3992281132-1000\...\SeaMonkey\Extensions: [[email protected]] - C:\Program Files (x86)\Internet Download Manager\idmmzcc2.xpi => not found
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - <no Path/update_url>
2016-03-28 14:12 - 2016-03-28 14:12 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
C:\Users\Тимур\AppData\Local\Temp\AnVir.exe
C:\Users\Тимур\AppData\Local\Temp\DefaultPackOffer.dll
C:\Users\Тимур\AppData\Local\Temp\downloader.exe
C:\Users\Тимур\AppData\Local\Temp\i4jdel0.exe
CustomCLSID: HKU\S-1-5-21-4001332773-3622390879-3992281132-1000_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {18722AD8-9468-D082-8EBA-03E985889A47} => No File
CustomCLSID: HKU\S-1-5-21-4001332773-3622390879-3992281132-1000_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {5986CCB5-9468-D082-E35C-F7A885889A47} => No File
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [131]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [131]
AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [144]
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57
Выполнил Fix. См. вложение.
-
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57
MBAM выполнил. См. приложение.
-
Удалите в MBAM:
Код:
PUP.Optional.StartPage, HKU\S-1-5-21-4001332773-3622390879-3992281132-1000\SOFTWARE\START PAGE, , [24909b28f8a241f5b7abe9eb59a959a7],
PUP.Optional.StartPage, HKU\S-1-5-21-4001332773-3622390879-3992281132-1000\SOFTWARE\START PAGE|Start Page, http://rhereso.ru/?utm_source=startpage03&utm_content=713e2996e4962db00a4a509ec296c027, , [24909b28f8a241f5b7abe9eb59a959a7]
Что из следующего Вам знакома?
Код:
RiskWare.FilePatcher, C:\Program Files (x86)\FDRLab\save2pc\save2pc.5.xx.full.v2.0.multi.method-Cerberus.exe, , [e2d2f2d1900ad165a4fbd110837dae52],
Trojan.Downloader, C:\App\TC\Soft\-soft\AntiDust.exe, , [189c5d660f8b082e5ea602731de4c040],
RiskWare.DontStealOurSoftware, C:\App\TC\Soft\MBAM\AntiMalwarePortable.exe, , [1f95368d6c2e1b1bf22796ee14ed45bb],
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57
Выполнил удаление.
Код:
PUP.Optional.StartPage, HKU\S-1-5-21-4001332773-3622390879-3992281132-1000\SOFTWARE\START PAGE, , [24909b28f8a241f5b7abe9eb59a959a7],
PUP.Optional.StartPage, HKU\S-1-5-21-4001332773-3622390879-3992281132-1000\SOFTWARE\START PAGE|Start Page, http://rhereso.ru/?utm_source=startpage03&utm_content=713e2996e4962db00a4a509ec296c027, , [24909b28f8a241f5b7abe9eb59a959a7]
Из следующих файлов мне известны все, но я их тоже удалил
Код:
RiskWare.FilePatcher, C:\Program Files (x86)\FDRLab\save2pc\save2pc.5.xx.full.v2.0.multi.method-Cerberus.exe, , [e2d2f2d1900ad165a4fbd110837dae52],
Trojan.Downloader, C:\App\TC\Soft\-soft\AntiDust.exe, , [189c5d660f8b082e5ea602731de4c040],
RiskWare.DontStealOurSoftware, C:\App\TC\Soft\MBAM\AntiMalwarePortable.exe, , [1f95368d6c2e1b1bf22796ee14ed45bb],
В приложении лог.
-
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57

Сообщение от
SQ
Сообщите, что с проблемой?
Проблема осталась. Соединения создаются. Порты из всего диапазона.
-
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57
Полный образ автозапуска см. во вложении.
-
- Уточните пожалуйста следующее ПО No-IP сами ставили ?
- Проблема именно с указанным ПК или в сети есть еще какие-то устройства или ПК?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

-
-
Junior Member
- Вес репутации
- 57

Сообщение от
SQ
- Уточните пожалуйста следующее ПО No-IP сами ставили ?
- Проблема именно с указанным ПК или в сети есть еще какие-то устройства или ПК?
- No-IP устанавливал сам, когда тестировал сервис динамического DNS (http://www.noip.com/). Эта программа уже не акутальна и я её удалю сейчас.
- Точно сказать не могу, но вероятность наличия проблемы на других ПК высокая.