Ботнет, бот вирус

Andrew11 · 22.11.2014, 00:01

Я занимаюсь сайтами.. .

И вот на мой личный сайт включена защита от брута и ещё там чего-то. .

При переходе иногда пишет что мой IP заблокирован, из за того что отсылаю подозрительный трафик на разные сайты, которые так же лежат на сервере у этого же хостера. . Писал в тех поддержку хостера, сказали что возможно БотНет или же человек у которого тот IP что и у меня заражен ботнетом. .

Так же иногда при поиске в гугле чего либо гугл выдает ввод капчи, а иногда вообще блокирует на несколько часов. Аналогично с яндексом.

IP у меня динамичный, как я заметил. . Меняется примерно каждые пол года, я точно не помню было ли у меня такая же фигня и когда у меня другой IP был или нет. .

Переживаю, ибо возможно ботнет своровал пароли от ФТП, логинился и закидывал вирус на хост мой.. . из за этого от моего IP отсылается трафик на сайты, которые на сервере у моего хоста. У меня форум большой, вот и не знаю что делать=(

Помогите пожалуйста, есть ли у меня ботнет в системе? И как его удалить?

Лог uVS: http://files.webfile.ru/8e4d8695db8c...7357ae8f1cf577
Лог avg: http://files.webfile.ru/e7adae863a3e...34f69cb08de41d

Спасибо огромное заранее!

RP55.RP55 · 22.11.2014, 01:19

У вас прокси стоит с адресом: 187.105.69.140:8080

Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-4135834026-1443377232-2477485673-1001\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ProxyServer
ProxyServer 187.105.69.140:8080

Судя по всему уличён в распространении спама.
-------
Для удаления прокси/настройки выполните:

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код:

     


;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
delref 187.105.69.140:8080
deltmp
delnfr
restart

Пишем по результату.

Andrew11 · 22.11.2014, 01:39

Скрипт выполнил, пока что ничего не заметил....
Значит ботов никаких в моей системе нету? Это всего лишь этот прокси был виноват?
(Да, когда-то занимался сетевым маркетингом, пришлось спамить чютку)

RP55.RP55 · 22.11.2014, 01:45

Думаю дело именно в прокси.
Других проблем не увидел.

- Понаблюдайте напишите, что и как.

Andrew11 · 22.11.2014, 01:55

Цитата:

Сообщение от RP55.RP55

Думаю дело именно в прокси.
Других проблем не увидел.

- Понаблюдайте напишите, что и как.

При входе в яндекс деньги только что заметил вот такую блокировку, она и раньше была=(:

RP55.RP55 · 22.11.2014, 02:08

Выполните лог программой Malwarebytes
http://pchelpforum.ru/showpost.php?p=206554&postcount=6
Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) .
*Если Гипер сканирование не запускается:
Выберите первый вариант сканирования ( Угроза сканирования )
- Отчёт по сканированию нужно представить в .txt ( блокнот )

Andrew11 · 22.11.2014, 02:39

Выбрал первый вариант, поскольку гипер был недоступен...
Вот результат:
http://rghost.ru/59193423

RP55.RP55 · 22.11.2014, 02:57

1)
В Malwarebytes - всё найденное удалите.

Для удаления Отметьте все найденные объекты в чек-боксах [V].
Примените команду: Remove Selected
( Удалить выбранное )
Или поместите найденное в карантин.
( В зависимости от версии программы )
--------
Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой
Пишем о результатах. ( лучше стало, или ? )

2) Если выход в сеть через роутер.
Нужно Проверить DNS - настройку на соответствие.
( должен быть DNS от провайдера или по умолчанию )
Сбросить настройку до заводского состояния - или меняем на DNS от провайдера.
Ставим сложный пароль на настройку.

Andrew11 · 22.11.2014, 16:43

Цитата:

Сообщение от RP55.RP55

1)
В Malwarebytes - всё найденное удалите.

Для удаления Отметьте все найденные объекты в чек-боксах [V].
Примените команду: Remove Selected
( Удалить выбранное )
Или поместите найденное в карантин.
( В зависимости от версии программы )
--------
Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой
Пишем о результатах. ( лучше стало, или ? )

2) Если выход в сеть через роутер.
Нужно Проверить DNS - настройку на соответствие.
( должен быть DNS от провайдера или по умолчанию )
Сбросить настройку до заводского состояния - или меняем на DNS от провайдера.
Ставим сложный пароль на настройку.

Всё выполнил выше перечисленное, маил.ру там не было вообще во вкладке *папки
Было только C:\ProgramData\~0
И Mediaget , всё очистил, перезагрузил..
Пока что блокировки IP не замечаю, пока что понаблюдаю..
--
У меня проводной интернет

---------- Добавлено в 16:43 ---------- Предыдущее сообщение было написано в 16:23 ----------

Ну вот опять заметил, гугл капчу выдает

maksimog · 22.11.2014, 16:52

Ну это нормально, введи капчу... обычно после 3-4 раза гугл перестает ее спрашивать.

Andrew11 · 22.11.2014, 17:29

Цитата:

Сообщение от maksimog

Ну это нормально, введи капчу... обычно после 3-4 раза гугл перестает ее спрашивать.

Пока что всё нормально, а как Вы объясните *от моего IP отсылается трафик на сайты, которые на сервере у моего хоста
Почему именно на сайты, которые на сервере у моего хостера?

maksimog · 22.11.2014, 17:37

Попробуйте на всякий случай сменить еще раз везде все пароли и установить максимально сложные...

Andrew11 · 22.11.2014, 17:43

Цитата:

Сообщение от maksimog

Попробуйте на всякий случай сменить еще раз везде все пароли и установить максимально сложные...

Зачем? Ботнета же небыло
Меня больше беспокоит вопрос - нет ли вирусов теперь на моём фтп, а это хз как проверить =(

maksimog · 22.11.2014, 18:16

Слить все файлы на пк и проверить из 2-3 антивирусами, возможно есть зараженный код в самих файлах.
Или левый редирект. Ну это уже не к нам...

RP55.RP55 · 22.11.2014, 18:49

Поменять IP ( можно временно - через нормальный прокси )
Посмотреть, как это повлияет на ситуацию.

22.11.2014, 00:01	#1 (ссылка)
Andrew11 Новичок Регистрация: 21.11.2014 Сообщений: 22 Репутация: 0	Ботнет, бот вирус Я занимаюсь сайтами.. . И вот на мой личный сайт включена защита от брута и ещё там чего-то. . При переходе иногда пишет что мой IP заблокирован, из за того что отсылаю подозрительный трафик на разные сайты, которые так же лежат на сервере у этого же хостера. . Писал в тех поддержку хостера, сказали что возможно БотНет или же человек у которого тот IP что и у меня заражен ботнетом. . Так же иногда при поиске в гугле чего либо гугл выдает ввод капчи, а иногда вообще блокирует на несколько часов. Аналогично с яндексом. IP у меня динамичный, как я заметил. . Меняется примерно каждые пол года, я точно не помню было ли у меня такая же фигня и когда у меня другой IP был или нет. . Переживаю, ибо возможно ботнет своровал пароли от ФТП, логинился и закидывал вирус на хост мой.. . из за этого от моего IP отсылается трафик на сайты, которые на сервере у моего хоста. У меня форум большой, вот и не знаю что делать=( Помогите пожалуйста, есть ли у меня ботнет в системе? И как его удалить? Лог uVS: http://files.webfile.ru/8e4d8695db8c...7357ae8f1cf577 Лог avg: http://files.webfile.ru/e7adae863a3e...34f69cb08de41d Спасибо огромное заранее!

22.11.2014, 01:19	#2 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	У вас прокси стоит с адресом: 187.105.69.140:8080 Статус в автозапуске Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-4135834026-1443377232-2477485673-1001\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ProxyServer ProxyServer 187.105.69.140:8080 Судя по всему уличён в распространении спама. ------- Для удаления прокси/настройки выполните: Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! Код: ;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 v385c delref 187.105.69.140:8080 deltmp delnfr restart Пишем по результату.

22.11.2014, 01:39	#3 (ссылка)
Andrew11 Новичок Регистрация: 21.11.2014 Сообщений: 22 Репутация: 0	Скрипт выполнил, пока что ничего не заметил.... Значит ботов никаких в моей системе нету? Это всего лишь этот прокси был виноват? (Да, когда-то занимался сетевым маркетингом, пришлось спамить чютку) Последний раз редактировалось safety; 22.11.2014 в 07:01.

22.11.2014, 02:39	#7 (ссылка)
Andrew11 Новичок Регистрация: 21.11.2014 Сообщений: 22 Репутация: 0	Выбрал первый вариант, поскольку гипер был недоступен... Вот результат: http://rghost.ru/59193423 Последний раз редактировалось safety; 22.11.2014 в 07:01.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Борьба с ботнет-сетями	krab	Безопасность	2	07.11.2013 19:23
Подозрение на ботнет	Killan50	Безопасность	2	22.12.2012 17:40
Microsoft уничтожила ботнет, состоящий из новых Windows-компьютеров	Гризлик	Компьютерные новости	3	17.09.2012 08:15
url mal вирус,аваст блокирует и систему и все браузеры,постоянно выдавая этот вирус!!	ann130281	Безопасность	14	09.06.2012 15:36
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40

22.11.2014, 01:45	#4 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Думаю дело именно в прокси. Других проблем не увидел. - Понаблюдайте напишите, что и как.

22.11.2014, 02:08	#6 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Выполните лог программой Malwarebytes http://pchelpforum.ru/showpost.php?p=206554&postcount=6 Выбрать Гипер сканирование. Отчет предоставить для анализа( в своей теме на форуме ) . Если Гипер сканирование не запускается: Выберите первый вариант сканирования ( Угроза сканирования ) - Отчёт по сканированию нужно представить в .txt ( блокнот )

22.11.2014, 02:57	#8 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	1) В Malwarebytes - всё найденное удалите. Для удаления Отметьте все найденные объекты в чек-боксах [V]. Примените команду: Remove Selected ( Удалить выбранное ) Или поместите найденное в карантин. ( В зависимости от версии программы ) -------- Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой Пишем о результатах. ( лучше стало, или ? ) 2) Если выход в сеть через роутер. Нужно Проверить DNS - настройку на соответствие. ( должен быть DNS от провайдера или по умолчанию ) Сбросить настройку до заводского состояния - или меняем на DNS от провайдера. Ставим сложный пароль на настройку.

22.11.2014, 16:52	#10 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Ну это нормально, введи капчу... обычно после 3-4 раза гугл перестает ее спрашивать.

22.11.2014, 17:37	#12 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Попробуйте на всякий случай сменить еще раз везде все пароли и установить максимально сложные...

22.11.2014, 18:16	#14 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	Слить все файлы на пк и проверить из 2-3 антивирусами, возможно есть зараженный код в самих файлах. Или левый редирект. Ну это уже не к нам...

22.11.2014, 18:49	#15 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Поменять IP ( можно временно - через нормальный прокси ) Посмотреть, как это повлияет на ситуацию.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads