Множественные запросы к сайтам. Может вирус?

[SGH-I900]

Здравствуйте!

Достал яндекс маркет со своими капчами! Жалуется что с моего IP приходят множественные запросы. Вводишь капчу, через некоторое время, опять...

Сейчас вот Отзовик такую же ерунду выдал...

Выход в инет выглядит так: комп с W7 на борту - витая пара - роутер (на котором прописаны логин и пароль) - витая пара к оборудованию провайдера - далее оптика. 

К роутеру подключено еще пару компов, но в основном они отключены, и капчи вылазят, когда они не в работе.

Проверил комп на вирусы KIS  и свежескаченным AVZ.  Оба никакой живности не нашли.

Может в таком случае применить какой нибудь другой способ, для проверки компа?

 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[SGH-I900]

Следуя вашим рекомендациям, что то таки нашлось...

KVRT нашел кое какие объекты....

Что-то из этого может формировать множественные запросы? И зачем они вообще нужны злоумышленникам? DDoSят помалу?

CollectionLog-2019.08.17-19.42.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2-32 - HKLM\..\BHO: (no name) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\drivers\FNETURPX.SYS','');
 QuarantineFile('C:\Windows\system32\drivers\FNETTBOH_305.SYS','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\audas0.sys','');
 QuarantineFile('C:\Users\Blago\Desktop\222\rvobhw.pif','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[SGH-I900]

HiJackThis (из каталога autologger)профиксить

 

Выполнил.

AVZ выполнить следующий скрипт.

 

Выполнил.

После перезагрузки:

- Выполните в AVZ:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

Выполнил. Отправил.

После пофиксинья , выполнения скрипта и перезагрузки, дали дуба пять расширений Гугл хрома, в основном касающиеся блокировки рекламы....

Подготовьте лог AdwCleaner и приложите его в теме.

 

Сейчас прикреплю, там три файла...

AdwCleanerC00.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

[SQ]

Знаком ли Вам следующий файл?

C:\Users\Blago\Desktop\222\rvobhw.pif

P.S. Если не знаком не открывайте.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[SGH-I900]

Знаком ли Вам следующий файл?

 

Нет.

Отчеты прикладываю.

Addition.txt

FRST.txt

[SQ]

Нет.

Пришел ответ от Вирлаба, файл не представляет угрозы.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files (x86)\ASUS\Printer Utilities\UsbService64.exe
  File: C:\Windows\system\HsMgr64.exe
  File: C:\Windows\SysWOW64\HsMgr.exe
  File: C:\ProgramData\KMSAuto\bin\KMSSS.exe
  File: C:\Users\Blago\Kleptomania для windows 7 x64\Kleptomania\KMania.exe
  File: C:\Program Files (x86)\Mouse Driver\StartAutorun.exe
  HKU\S-1-5-21-3516348473-1296372640-1759906902-1000\...\Run: [Kleptomania] => [X]
  ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (No File)
  Task: {35E415C4-D750-46BA-9D6D-BF96992B6AA7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {C8A86B7B-45FC-412D-B691-17A67D21DDAE} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Toolbar: HKU\S-1-5-21-3516348473-1296372640-1759906902-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @videolan.org/vlc,version=2.1.5 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File]
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
  S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
  S3 FNETTBOH_305; System32\drivers\FNETTBOH_305.SYS [X]
  S1 FNETURPX; System32\drivers\FNETURPX.SYS [X]
  82656 _____ () C:\Users\Blago\comcat1.dll
  File: C:\Users\Blago\comcat2.dll
  File: C:\Users\Blago\comcat3.dll
  File: C:\Users\Blago\comcat4.dll
  File: C:\Users\Blago\comcat5.dll
  File: C:\Users\Blago\comcat6.dll
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\09F87552.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\09F87552.sys => ""="Driver"
  FirewallRules: [TCP Query User{B9D3A047-607C-46F3-846F-1F9862AE9F63}C:\program files (x86)\test utorrent 1.8.2 перенести на раб. стол\utorrent.exe] => (Allow) C:\program files (x86)\test utorrent 1.8.2 перенести на раб. стол\utorrent.exe No File
  FirewallRules: [UDP Query User{DA810B8C-2736-4085-97C7-A26C4C754B91}C:\program files (x86)\test utorrent 1.8.2 перенести на раб. стол\utorrent.exe] => (Allow) C:\program files (x86)\test utorrent 1.8.2 перенести на раб. стол\utorrent.exe No File
  FirewallRules: [{57B862B9-68E5-49D5-863E-906D4A61A9DF}] => (Allow) C:\Program Files (x86)\Test uTorrent 1.8.2 перенести на раб. стол\uTorrent.exe No File
  FirewallRules: [{2507B75B-036C-45F2-8A45-1D6CA482B1E4}] => (Allow) C:\Program Files (x86)\Test uTorrent 1.8.2 перенести на раб. стол\uTorrent.exe No File
  FirewallRules: [{A42E96E9-3C65-468B-86C7-09F9F666B18A}] => (Allow) C:\Tmp\pft2DE8.tmp\Printer.exe No File
  FirewallRules: [{3607A2DA-056D-477D-AAA5-4AB19E66A9DE}] => (Allow) C:\Tmp\pft2DE8.tmp\Printer.exe No File
  FirewallRules: [{1DEB54AD-C639-4F79-BA18-270045DF36E8}] => (Allow) C:\Tmp\pftD31A.tmp\Printer.exe No File
  FirewallRules: [{1557A39A-F2F9-4DF8-A87C-F58143659072}] => (Allow) C:\Tmp\pftD31A.tmp\Printer.exe No File
  FirewallRules: [{02F2893B-DE93-49C7-95FD-401879EB9F15}] => (Allow) C:\Tmp\pft8AC6.tmp\Printer.exe No File
  FirewallRules: [{52460997-53DF-4BAC-8690-F68FE05BE62D}] => (Allow) C:\Tmp\pft8AC6.tmp\Printer.exe No File
  FirewallRules: [{FD62B69F-1647-4A96-B289-F1B914312C81}] => (Allow) C:\Tmp\pftDA7B.tmp\Printer.exe No File
  FirewallRules: [{28F9B4CE-57B2-4B12-87AB-77452FFE6FDC}] => (Allow) C:\Tmp\pftDA7B.tmp\Printer.exe No File
  FirewallRules: [{5D1ABB7A-ECCB-4404-902F-B5BB09B58C2D}] => (Allow) C:\Tmp\pft1BFD.tmp\Printer.exe No File
  FirewallRules: [{2C3C0BAE-803E-40D0-874C-FC0AEB8E6FDD}] => (Allow) C:\Tmp\pft1BFD.tmp\Printer.exe No File
  FirewallRules: [{5139441F-47DB-4C77-85D9-824E5AFBEBCE}] => (Allow) C:\Tmp\pftAB41.tmp\Printer.exe No File
  FirewallRules: [{4A5A8D14-2C54-46D5-99B8-1E1D8A60E5D9}] => (Allow) C:\Tmp\pftAB41.tmp\Printer.exe No File
  FirewallRules: [{8040788D-8951-4949-B1A0-FDAF2C9717D3}] => (Allow) C:\Tmp\pftD402.tmp\Printer.exe No File
  FirewallRules: [{36A8D28C-3248-4BBC-A17B-6288ADE8D026}] => (Allow) C:\Tmp\pftD402.tmp\Printer.exe No File
  FirewallRules: [{64B03E94-924D-4035-A332-A4A86C9153F0}] => (Allow) C:\Tmp\pftE37D.tmp\Printer.exe No File
  FirewallRules: [{007C096D-E32B-4C8C-9A37-48307634B09E}] => (Allow) C:\Tmp\pftE37D.tmp\Printer.exe No File
  FirewallRules: [{C2690F52-B1F8-4BD5-B618-40DE25A3521B}] => (Allow) C:\Tmp\pftDF39.tmp\Printer.exe No File
  FirewallRules: [{585AF93A-DCF5-4BEA-89DB-C4B2A46DCC0A}] => (Allow) C:\Tmp\pftDF39.tmp\Printer.exe No File
  FirewallRules: [{6934601B-5D60-4DA4-8FBE-FBF0917149AD}] => (Allow) C:\Tmp\pft899.tmp\Printer.exe No File
  FirewallRules: [{7D21CE3E-2D11-4153-BD31-1D64F2A530A1}] => (Allow) C:\Tmp\pft899.tmp\Printer.exe No File
  FirewallRules: [{481AC960-F716-4D50-8783-1BA6823A7540}] => (Allow) C:\Tmp\pftD2DA.tmp\Printer.exe No File
  FirewallRules: [{85994B25-52ED-43AC-931E-BDCF7EB78D91}] => (Allow) C:\Tmp\pftD2DA.tmp\Printer.exe No File
  FirewallRules: [{DF6A80DE-7116-4D9E-83C9-1301F6223D68}] => (Allow) C:\Tmp\pft1B5E.tmp\Printer.exe No File
  FirewallRules: [{EB0087B8-BBA6-4CD6-995F-74DCB966ACAB}] => (Allow) C:\Tmp\pft1B5E.tmp\Printer.exe No File
  FirewallRules: [{DF44D295-42E8-4C34-B5D0-BACFA4063E00}] => (Allow) C:\Tmp\pftCA52.tmp\Printer.exe No File
  FirewallRules: [{0CAB43A3-49A4-42A7-B1DD-F8B98C2498C8}] => (Allow) C:\Tmp\pftCA52.tmp\Printer.exe No File
  FirewallRules: [{F85174EB-22AE-4CFB-9AC5-12672681CD5D}] => (Allow) C:\Tmp\pftA323.tmp\Printer.exe No File
  FirewallRules: [{06E48F41-5E5D-4396-B89C-94A8D515EFA4}] => (Allow) C:\Tmp\pftA323.tmp\Printer.exe No File
  FirewallRules: [{32751D36-55E4-4473-B157-1BFA6F082C4E}] => (Allow) C:\Tmp\pftE13C.tmp\Printer.exe No File
  FirewallRules: [{88D7A7A4-40CD-4E95-97D0-29103B71ADAE}] => (Allow) C:\Tmp\pftE13C.tmp\Printer.exe No File
  FirewallRules: [{9E172165-0DBA-458B-8B8E-7D90B2335D98}] => (Allow) C:\Tmp\pft4461.tmp\Printer.exe No File
  FirewallRules: [{43C13D7C-859B-48C0-A0DF-709B571BB199}] => (Allow) C:\Tmp\pft4461.tmp\Printer.exe No File
  FirewallRules: [{B31C88F7-BF07-48CD-BE2F-33B9664A2D49}] => (Allow) C:\Tmp\pftE85E.tmp\Printer.exe No File
  FirewallRules: [{C2FE63F6-70AD-4931-B123-BF66408D34D5}] => (Allow) C:\Tmp\pftE85E.tmp\Printer.exe No File
  FirewallRules: [{B4B6B6AA-C9FE-488E-8E92-AB21CE056A3F}] => (Allow) C:\Program Files (x86)\ASUS\Printer Utilities\UsbService.exe No File
  FirewallRules: [{E151DFB0-AFB2-4881-90D7-860DA436C229}] => (Allow) C:\Program Files (x86)\ASUS\Printer Utilities\UsbService.exe No File
  FirewallRules: [TCP Query User{3B1575FF-7873-4225-92D0-FA0367B2A7E5}C:\program files (x86)\pp助手2.0\adevicehelpermon.exe] => (Allow) C:\program files (x86)\pp助手2.0\adevicehelpermon.exe No File
  FirewallRules: [UDP Query User{2E64B520-FEDA-45EE-B34A-0EBF7F4DDAC1}C:\program files (x86)\pp助手2.0\adevicehelpermon.exe] => (Allow) C:\program files (x86)\pp助手2.0\adevicehelpermon.exe No File
  FirewallRules: [{4F2030C1-27A5-488F-8ECE-DCE26B560A35}] => (Allow) C:\Tmp\pftE8F.tmp\Printer.exe No File
  FirewallRules: [{930B5BC7-A22E-41BE-BE97-F6E1E956A41B}] => (Allow) C:\Tmp\pftE8F.tmp\Printer.exe No File
  FirewallRules: [{6E7BAA41-27A1-48D7-A7C2-CED9357D9856}] => (Allow) C:\Program Files (x86)\BlueStacks\HD-Player.exe No File
  Reboot:
  End::
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[SGH-I900]

       Запустите FRST и нажмите один раз на кнопку Fix и подождите.

 

 

Выполнил.

Fixlog.txt

[SGH-I900]

Опять.....

 

About this page

Our systems have detected unusual traffic from your computer network. This page checks to see if it's really you sending the requests, and not a robot. Why did this happen?

[SQ]

Проблема возникает, в каких браузерах?

 

По окончанию лечения рассмотрите пожалуйста вопрос касаемо обновления версии продукта, так как используемая вами версия давно уже считается устаревшей.

Kaspersky Internet Security  (Version: 14.0.0.4651 - Лаборатория Касперского)

Ознакомьтесь пожалуйста о подробностях по ссылке: Конец жизненного цикла

[SGH-I900]

Проблема возникает, в каких браузерах?

 

 

 Google Chrome и Tor.

Tor использую крайне редко.

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

Tor использую крайне редко.

Проблема возникает в нем тоже?
Уточните пожалуйста производителя и модель роутера, также убедитесь, чтобы настройки днс на роутере соответствовали днс-серверам вашего провайдера (либо замените их на публичные днс-сервера google в качестве временного тестирования).

[SGH-I900]

Проблема возникает в нем тоже?

 

Один раз возникла, за все время. Но я и крайне редко им пользуюсь.

 

Уточните пожалуйста производителя и модель роутера

 

Asus RT-AC56U.

 

 

также убедитесь, чтобы настройки днс на роутере соответствовали днс-серверам вашего провайдера

 

А прову по моему все равно на эти DNSы, что ни поставь... (Ростелеком).

Стояло в автомате. Поставил основной Гугловский, второй Яндекса.

Потестил немного на Я маркете, где частенько они капчей прикрывались, пока полет нормальный. Будем посмотреть...

 

А что мы там пофиксили у меня?

Несколько вирей KVRT удавил, один подозрительный файл вроде чистый оказался.

Что ещё?

[SQ]

А что мы там пофиксили у меня?

Несколько вирей KVRT удавил, один подозрительный файл вроде чистый оказался.

Что ещё?

Только бытые ссылки на объекты (если вы заметили указано было - No File).