-
Junior Member
- Вес репутации
- 30
Подозрительная активность, запросы capcha и блокировки
Здравствуйте! При поисковых запросах в поисковиках google, yandex периодически запрашивает капчу и сигналит о подозрительном трафике, исходящем из нашей сети. Бывали также по этой причине блокировки на авито и еще нескольких сайтах баны, причем те сайты вообще нами не посещались в это время, а спам с нашего ip автоматически исходил, как нам сказали. Причем такое происходит независимо от браузера и устройства, с которого осуществляется вход. Сеть дома wifi, через модем --> роутер, который в настоящее время защищен шифрованием wpa2 + ограничение подключения по mac адресам наших устройств. IP статический.
Логи в данной теме представлены пока с основного ноутбука, на котором было выявлено больше всего вредоносных программ, пришлось даже просить переустановить windows. Надеюсь на вашу помощь, тк приняли уже много мер и проблема не уходит, не можем разобраться, в чем дело. Заранее извиняюсь за длинный текст ниже, просто постаралась наиболее подробно описать суть проблемы, соблюдая хронологию по пунктам, в конце то, что происходит с компьютером на данный момент.
Предыстория:
Около месяца назад случайно обнаружили блокировку аккаунта на приставке PS3, которую не включали пару месяцев до этого, после общения с техподдержкой выяснилось, что ip в черном списке из-за спама, исходящего с него. Решили, что это какая-то ошибка и оттуда попросили его убрать, но временные блокировки продолжались, из-за чего пришлось обратиться к провайдеру, а он посоветовал заглянуть в настройки роутера и проверить компьютеры на вирусы.
1.Начали с роутера. Несмотря на сложный пароль от вай фай и приличный метод шифрования, обнаружили взлом нашей сети, был изменен пароль для входа в админку роутера и обнаружили несколько не наших устройств, прямо висящих в списке пользующихся в данный момент. Скинули настройки, установили новый пароль от админки, настроили дополнительные методы защиты (ограничение по мак адресам), встроенный фаервол.
У нас в доме 7 устройств, два из них ноутбуки на windows, остальные устройства это приставка, которая включается редко и телефоны/планшет на ios. Уже после прописанных mac адресов наших устройств заметила закономерность: после подключения к интернету ноутбука, по которому сейчас отправляю запрос на помощь в этой теме, в списке пользующихся сетью вновь появлялись два незнакомых устройства с собственными мак адресами, несмотря на то, что адрес ноутбука в этом списке прописан отдельной строкой и стоит ограничение по mac. Когда именно этот ноутбук был отключен от интернета, они не появлялись.
2. Решили проверить ноутбуки на вирусы, хотя на обоих стоят KIS с высокой степенью защиты и часто делаются полные проверки. Ничего не нашлось, а вот утилитой KVRT нашелся троян на обоих ноутбуках, тут же и Kaspersky Internet Security просигналил об этом и удалил. Но проблема не решилась, блокировки оставались, а к ним добавились и постоянные капчи в поисковиках.
Еще на данном ноутбуке стали постоянно выскакивать уведомления об успешном подключении к нему неизвестных bluetooth устройств, хотя мы не используем ни одно такое устройство с технологией bluetooth. Пробовала отключать их через диспетчер задач, и тогда тут же статус неизвестных устройств в роутере менялся на expired и при перезагрузке роутера они исчезали вовсе. В этом я, конечно, ничего не понимаю, но, могло ведь такое быть, что какой-то вирус запускал постоянно эти устройства и они имели собственный мак адрес и использовали наш интернет? Однако после отключения они вновь устанавливались и подключались автоматически, пробовала удалять все папки с их драйверами, но они восстанавливались, проблему вроде как решило отключение модуля bluetooth через Службы компонентов.
3. Скачали на ноутбуки утилиты, dr.web cureit, hitman, mbam anti-malware, adwcleaner, ccleaner. Др. веб на данном пк нашел внушительное количество каких-то mutahaba и поудалял их, хитман и остальные нашли тоже какие-то программы, рассылающие рекламу вроде как, поудаляли их все, CC клинером почистили куки, кэш, ошибки реестра.
В роутере все чисто, никаких подозрительных устройств, но ситуация будто еще больше усугубилась, помимо сообщений о подозрительном трафике с нашей сети,при открытии браузера Chrome стало вместо открытия некоторых страниц предлагать скачать их и открыть как файл. Иногда адрес был с этого же сайта, иногда вовсе пытаешься открыть гугл, а предлагает что-то скачать из youtube.
Решили установить mozilla, но в нем такая же проблема. Удалили тогда оба браузера, вручную почистили все их папки, но переустановка не решила проблемы. По советам проверяли файл hosts, все было в норме. Антивирусы и утилиты ничего больше не находили. Тогда мы попросили человека поставить нам новый windows.
4. На всех устройствах, которые покдлючены к вайфай, на всякий случай обновили прошивки, скинули настройки к заводским, а в случае планшета еще и стерли все файлы, тк в нем как-то осел троян для windows (не понимаю, как это вообще возможно) и появлялся на другом ноутбуке именно после синхронизации с компьютером в папке резервной копии.
5. На данный момент стоит чистый windows 7, 64 максимальный, браузеры никакие кроме IE не ставили, лишних программ кроме антивирусных тоже нет, но иногда в поисковиках по-прежнему выскакивает capcha и подозрительная активность, рекомендации все те же: проверка на вирусы и отключение vpn (последнее мы не используем, на вирусы проверено и вроде как все почищено). Антивирус нам поставили avast, сразу же начали с проверки дисков c и d и он находит червь, расположение: файл hosts, системная папка, при этом ни одни из других программ их ранее не находили даже на старом windows. Аваст на любые действия с ним почему-то отвечал отказом, тогда вручную решили открыть файл hosts в блокноте. В нем непонятные dns серверы, все лишнее стерли и заменили тем, что должно быть в норме на win 7.Проверили снова, ничего не находит больше. Но назойливая капча нет-нет да и вылезет даже сейчас в гугл или яндекс, а с одного телефона прямо постоянно. В логах роутера при его включении появляется куча каких-то одобренных и отклоненных пакетов от неизвестного мне ip 172..., хотя наши внутренние ip начинаются с 192..., а внешний статический ip на 188... где-то пол часа - час по логам это длится после включения роутера, не понимаю с чем это связано, может так и должно быть, но точно не знаю и об этом тут просто упоминаю. Надеемся, что в это всем кто-то сможет разобраться, второй ноутбук после чисток пока не включаем совсем, то есть в сеть только с этого пока выходим и портативных устройств.
По инструкции сделали полную проверку авастом, ничего не нашлось, затем в безопасном режиме сканировали KVRT и Cureit, все чисто.
Прикладываю логи AVZ и HJT, запущенные от администратора при выключенном антивирусе.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Alice16, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внешний ip роутера сообщите мне в личном сообщении.
- - - - -Добавлено - - - - -
C роутером порядок.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
-
-
Junior Member
- Вес репутации
- 30
Спасибо за оперативный ответ, вот архив FRST
-
Чисто.
Avast замените актуальной версией, 4.8 на современных системах нормально не работает.
Капча, видимо, последствия попадания в чёрные списки после взлома, рассосётся постепенно.
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
-
-
Junior Member
- Вес репутации
- 30
Папку удалили, рекомендации выполнили. Капча не уходит, решили ждать, но снова бан на сервере sony, приставку не включали вообще эти дни, в роутере никаких подключений нет, в нем точно не может быть проблемы? откуда бан тогда за спам снова
-
Часто банят не конкретные адреса (много чести), а целые подсети. Обратитесь в техподдержку Sony с конкретным вопросом.
-
-
Junior Member
- Вес репутации
- 30
такс.. обратилась уже в 10й раз, они сказали, что эта блокировка автоматическая, при рассылке спама, подозрительной активности, ну и так как ip статический, то проблема точно с нашей стороны, а не их или кого-то другого( то есть они убирают каждый раз его вручную из ЧС, но говорят, что в случае повторения снова автоматом туда попадает, подали заявку на снятие оттуда снова.
Вспомнила, что за последние 2-3 дня включали второй ноутбук и выходили в сеть, может, на нем тоже зараза скрытая? чтобы проверить, нужно выполнить те же действия и создать новую тему или в этой можно?
-
Новый ноутбук - новая тема.
Эту закроем тогда.
-
-
Junior Member
- Вес репутации
- 30
хорошо, благодарю за консультацию, открою новую с линком на эту.
-
-