Главная » Безопасность » «Мы зарегистрировали подозрительный трафик, исходящий из вашей сети…» — боремся с Trojan.Mods

«Мы зарегистрировали подозрительный трафик, исходящий из вашей сети…» — боремся с Trojan.Mods

Мы зарегистрировали подозрительный трафик исходящий из вашей сети

«С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот…» — Если Вы видите подобные сообщения при заходе в Google, Yandex, социальные сети (Вконтакте, Одноклассники), первое, что нужно помнить в такой ситуации — никогда НЕ ВВОДИТЬ НОМЕР СВОЕГО ТЕЛЕФОНА, не отправлять никуда никакие СМС — Вас «разводят» мошенники, перенаправляя на поддельные сайты чтобы подписать Ваш телефон на платные информационные услуги, а Ваш компьютер заражен и его нужно лечить.


При попытке зайти и что-то поискать на Яндексе видим такую же картину:

Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические
В Одноклассниках и Вконтакте — то же самое — текст немного отличается, оформление страницы соответствует стилю соответствующего сайта, но есть один общий момент — нужно вводить и отправлять свой номер телефона. Запомните, такого НЕ БЫВАЕТ НИКОГДА, чтобы ВСЕМУ ИНТЕРНЕТУ вдруг так, внезапно потребовался Ваш номер мобильного — это первый признак того, что Вас разводят!

Одинаковое требование ввести свой номер телефона от всех популярных сайтов - первый признак того, что вы попались на удочку мошенников.

Одинаковое требование ввести свой номер телефона от всех популярных сайтов — первый признак того, что вы попались на удочку мошенников.

При нажатии на ссылку «Что делать если код не приходит» предлагают отправить СМС на номер 4016 (или 5014) с вашим личным идентификатором «Я не лох» 15439231 — это второй признак что Вас разводят. Во-первых, уважающие себя сайты, как Гугл, Яндекс, Одноклассники НИКОГДА не будут требовать от вас высылать платные СМС-ки, во вторых они НИКОГДА не будут требовать этого одновременно и на одни и те же номера!

Платные СМС - очевидное мошенничество

Если все популярные сайты вдруг захотели получить от Вас платный СМС — очередное подтверждение того, что Вы находитесь под прицелом мошенников.

Третий признак поддельного (фишингового) сайта — адрес в адресной строке:

Фишинговый сайт, поддельные Одноклассники

Внимательно смотрим, на КАКОМ ИМЕННО сайте мы вводим свои персональные данные! В данном случае вместо входа на Одноклассники, мы передаём логин и пароль от него злоумышленникам.

Но в нашем случае с этим всё в порядке — злоумышленники надёжно замели следы, все адреса в адресной строке правильные.

Решение

Первое,

что нужно в таких случаях для разблокирования сделать — проверить файл hosts. Но, в нашем случае, здесь тоже всё чисто, файл не модифицирован.

Второе

Смотрим автозагрузку:

Подозрительная запись в автозагрузке

Подозрительная запись в автозагрузке

Для начала снимаем галочку возле подозрительной записи (удалить её мы всегда успеем). Как впоследствии выяснилось, это был другой вирус, к нашему отношения не имеющий.

Третье

Сканируем систему антивирусом (предварительно обновив самыми свежими антивирусными базами). На пострадавшем компьютере была установлена Avira:

TR/SHipUp.dfsk.2

Антивирус Avira всё время рапортует об обнаружении вируса «TR/SHipUp.dfsk.2» в папке «ProgramData\Mozilla»

Нажимаем кнопку «Удалить», антивирус долго думает и выдаёт результат, который нас сильно обескураживает:

Лечение TR/SHipUp.dfsk.2

Avira предлагает переместить в карантин весь Windows и все активные программы

Avira предлагает переместить в карантин весь Windows и все активные программы. Это объясняется тем, что вирус встраивается во все запущенные на инфицированном ПК процессы, однако его деятельность (подмена страниц) заметна только в браузерах (Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome, Chromium, Mail.Ru Интернет, Яндекс.Браузер, Рамблер Нихром). Если сейчас нажать «Применить», то компьютер больше не загрузится (антивирус так борется за мир, что от него камня на камне не останется). Нам этот вариант не подходит, потому мы нажимаем «Отменить» и скачиваем либо Dr.Web CureIt!, либо Kaspersky Virus Removal Tool:

Удаление Trojan.Mods.2

Dr.Web с ходу удаляет Trojan.Mods.2 (файл «jddvigb.dll» в папке в «ProgramData\Mozilla»)

Четвёртое

Сканируем антитроянской программой (напр. Malwarebytes Anti-Malware):

trojan-mods-10
Как видим, компьютер был изрядно заражен. Программа нашла 22 объекта, в т.ч. и наш троян. Удаляем всё.

Пятое

Как мы выяснили, был инфицирован браузер Mozilla Firefox, потому для перестраховки, желательно при помощи продвинутого деинсталлятора (напр. Revo Uninstaller) удалим браузер под чистую, а затем, скачав с официального сайта, установим наново.

После всех произведённых действий перезагружаемся и проверяем, нормально ли открываются наши сайты.

Выводы

В данном случае антивирус Avira показал себя не с лучшей стороны: напропускал слишком много троянов и показал полную неспособность с ними бороться (если не считать предложение уничтожить всё вокруг из-за одного-единственного зловредного файла). Потому было принято решение удалить так же и Avir-у и установить другой антивирус, а пользователю проведена профилактическая беседа на тему потери бдительности)).

P.S.

Иногда Яндекс и Google действительно блокируют пользователей в случае если от них поступает слишком много запросов. Причины этого могут быть разные: либо заражённые вирусами компьютеры создают слишком много сетевой активности, либо у провайдера много пользователей находятся на одном реальном IP-адресе, либо ещё что-то, но в любом случае это выглядит так:

Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические.
либо так (у Google):

чтобы продолжить введите указанные ниже символы

Заметьте, никаких телефонов, никаких СМС, нужно просто ввести код, чтобы убедить поисковую систему, что Вы не зловредная программа, и тогда сможете продолжать пользоваться интернетом далее.

Удачи Вам, не попадайтесь!

Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

2 комментария

  1. Очень полезная статья,автору спасибо:)

  2. Спасибо большое за статью а то я уже весь комп до дыр антивирями затер, а оказывается скорее всего провайдер виноват.

    P.S.: Провайдер Сота Д (Димитровград)

Оставить комментарий

Ваш email нигде не будет показан. Обязательные для заполнения поля помечены *

*