Подмена скачивающихся файлов

Всем привет!
Любой файл, скачивающийся через ИЕ на машину - подменяется и блокируется.
Параллельно, все те системы, которые используют параметры ИЕ для доступа в инет, имеют сложности )
Основная масса привычных инструментов типа cureit, zemana, adwcleaner и тп, ничего не обнаруживает.
Самому справиться не удалось, очень надеюсь на помощь специалистов.
Машина в домене, применялись политики SRP, но их оказалось недостаточно, как мы видим; если это имеет значение.

Пинги по именам и айпи ходят, трейс хороший, локалка работает ок.

Спасибо.

Уважаемый(ая) [B]Fallagar[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Какие настройки DNS по адресу 192.168.0.222 - это сервер, роутер?

сервер, контроллер домена с ДНС в АД.
другие машины в домене, у которых прописан этот адрес, не имеют такой проблемы

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

это один пользователь из четырёх, которые имеют доступ на эту машину.
я выполнил для каждого из них, возможно, не зря )
загрузить полностью не удается весь пакет, лимиты в треде, так что я выгрузил на я-диск. [url]https://yadi.sk/d/kW_lwXKJ3Rrq2X[/url]

А какой из 4-х образов сделан под проблемным пользователем? Хотя ни в одном нет ни BHO нехороших, ни чего либо вообще подозрительного.

проблемы на этой машине у всех четырёх пользователей.

Скачайте и запустите TDSSKiller: [url]https://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

места маловато. удалил лог один, ибо он в пакете на диске яндекс был.

Просьба пару скачиваемых заражённых файлов упаковать в архив .zip с паролем virus и загрузить по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Полезно, если url такого файла приведёте (в личку).

не получается, он, сразу, на подлёте, удаляется средствами ИЕ, насколько я понял, без карантина.
машина будет переставлена, так что исследовательского материала не уверен, что смогу дать.
отпишусь дополнительно.

спасибо за помощь.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

мне кажется, подозрение, что инфекция живет в профилях 4 активных пользователей, подтверждается.
свежая соседская виртуалка, полностью чистая установка, два логина/логаута по кругу, и вот, вуаля!
сами профили не перемещаемые, но папки из них редиректнуты в сетевое размещение. как то оно туда забралось, наверное. не смог отыскать )

ещё одну, третью, виртуалку поднял, посильнее ограничил, туда одного из пользователей завел, пока вроде не симптомов не наблюдаю.

В таком случае вряд ли стандартные средства что-то обнаружат.
[CODE]CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION[/CODE]Политики для Google Chrome сами устанавливали?

Содержимое этой папки с подпапками:[CODE]C:\Users\marcus\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo[/CODE]
упакуйте и прикрепите к сообщению.

[QUOTE]В таком случае вряд ли стандартные средства что-то обнаружат.[/QUOTE]
ну, они видятся в сеансе как локальные. все системы с ними работают, как с локальными.
но может, и так.

политики да, сами.
скриншот политики.
[url]https://clip2net.com/clip/m3021/018ed-clip-29kb.png?nocache=1[/url]

С расширением порядок.Если ещё не убили систему и профиль - сделайте новый полный образ автозапуска uVS с запущенным IE во время (или сразу после) скачивания вируса.

извините за задержку.

Ничего не видно подозрительного. Но очень мне не нравится такое хитроумное внедрение в систему, да ещё с учётом, что используются банк-клиент.
Профили сетевые есть возможность проверить антивирусом?

да, всё проверил
и ещё раз
и потом ещё раз.
странности.

примерно понятно, через какого прошло пользователя, привилегированого, но ничего в файлах профилей и локально нет лишнего на первый взгляд
банки вынесли наконец на отдельную машину с отдельным пользователем, без связи со всем остальным в профиле.
сделал новые виртуальные сервера, новые развёртывания, пользователя нового заведу сейчас для этого юзера, ограничений ещё добавим, будем посмотреть. потом ему всё равно давать доступ к его старому ресурсу, так что будут логи какие-то валиться по нему. посмотрим ещё.

может, потом целиком старые виртуалки на исследование удастся передать посмотреть, если интересно.