Постоянные попытки открыть сайт в фоне / work.a-poster.info

Malwarebytes & Dr.Web CureIt ничего не находят. Помогите :(
[ATTACH=CONFIG]676096[/ATTACH]
[ATTACH=CONFIG]676089[/ATTACH]

А еще пытается открыть - bodelen . com / 2lwlh385os . com / f.top4top . net / pushwhy . com / pushname . com

Уважаемый(ая) [B]Hayzoom[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Не после установки Tencent Gaming Buddy началось?
Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Да нет, после установки много времени прошло, а началось это только вчера-позавчера.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Malwarebytes что-то нашел

Удалите только в Malwarebytes, проверьте.

Не исчезла проблема, всё так-же

Пока могу сказать следующее - Malwarebytes крайне щепетилен к сетевому трафику, и часто бьёт тревогу даже при обращениях к безобидным доменам
work.a-poster.info содержит в т. ч. списки прокси, к которым обращаются некоторые SEOшные программы, ничего такого нет?

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Да нет, SEO-шных программ точно нету, Wиндоус недавно ставился и в принципе чист от лишнего софта(я так думаю)

Я ничего не вижу подозрительного. Если кроме предупреждений Malwarebytes никак не проявляется - я бы не беспокоился.

А может из-за так называемой слежки Windows 10?
Почти каждую минуту всплывает окошко о блокировке.

Windows сливает на сайты Microsoft.
Отключите на время защиту, проверьте, будут другие проявления: реклама, всплывающие окна?

Спустя 5 минут после отключения защиты :?

Значит, будем копать глубже.
Удалите всё найденное в Malwarebytes.

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Что-то очень странное дело это ;)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Еще раз отключил защиту, проследил за сетевой активностью и из подозрительного нашел Amazon Web Services который работает как раз через svchost
[ATTACH=CONFIG]676146[/ATTACH]

Похоже, началось с этого:[QUOTE]Date: 2019-01-23 16:16:42.565
Description:
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
[url]https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Occamy.C&threatid=2147726780&enterprise=0[/url]
Имя: Trojan:Win32/Occamy.C
ИД: 2147726780
Важность: Критический
Категория: Троян
Путь: file:_E:\Downloads\Spintires.MudRunner.The.Ridge-CODEX\setup.exe; process:_pid:7244,ProcessStart:131927154431325085
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Система
Пользователь: NT AUTHORITY\СИСТЕМА
Имя процесса: E:\Downloads\Spintires.MudRunner.The.Ridge-CODEX\setup.exe
Версия сигнатуры: AV: 1.273.933.0, AS: 1.273.933.0, NIS: 1.273.933.0
Версия модуля: AM: 1.1.15600.4, NIS: 1.1.15600.4[/QUOTE]Этот файл удалён уже?

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Если не влезет во вложения, загрузите в доступное облачное хранилище или на файлообменник и дайте ссылку.

Да Malwarebytes сразу его удалил, да и качался этот файл уже после появления проблемы.

[url]https://yadi.sk/d/8CyJx2eTHkA88Q[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Еще заметил что порт исходящего подключения на work.a-poster . info постоянно меняется.

[QUOTE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [6688], tid=2752[/QUOTE]
Руткит работает, ни TDSSKiller, ни Dr. Web CureIt!, ни Malwarebytes его не видят.
Есть загрузочный LiveCD/LiveUSB c Windows?

Да, есть флешка с которой устанавливалась система.

Нужна не установочная, а именно чтобы сразу с неё система грузилась.

Тогда попробуйте с [URL="https://support.kaspersky.ru/14226"]Kaspersky Rescue Disk 18[/URL] пролечиться.

Поставил Kaspersky Rescue Disk 18, загрузился с него, просканировал и ничего не нашел.

Печаль-беда, придётся врукопашную лечить.

Пробуйте: [URL="https://virusinfo.info/showthread.php?t=121767&p=899113&viewfull=1#post899113"]Загрузка и сканирование при помощи Live CD с uVS[/URL]
Образ также на Я.Диск выложите.

[url]https://yadi.sk/d/P5MrKQmSW0EXNA[/url]

Кажется, разобрались.

Выполняйте в UVS на загруженной системе.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\USERS\BEARD\APPDATA\ROAMING\GOOGLEUPDATE\GOOPDATE.DLL
addsgn 9A01B2C27E824762F02BEB34928111F7DA6C15AAD749E04B5FF83CDAD12A2E1FCA530BFBC114CA0824235BDB770A6D023CD052859BBCF1D3E236FBC617CFE68C 24 Malware.Strealer [Rising] 7

chklst
delvir
delref %SystemDrive%\USERS\BEARD\APPDATA\ROAMING\CPPREDISTX86.EXE
apply
czoo
deltmp
restart
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Карантин загрузил
[QUOTE]Файл сохранён как 190124_175037_ZOO_2019-01-24_22-46-41_5c49faed146cb.zip[/QUOTE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

За 30 минут не одного сообщения о блокировке, похоже получилось :)

Хорошо, последите до завтра, не будет ли рецидива.

Буду смотреть, отпишу :)

После каждого перезапуска находит в реестре, а вот сообщений о блокировке исходящих подключений к сайтам нет

[CODE]
Значение реестра: 1
Trojan.Agent.IGen, HKU\S-1-5-21-330745489-1970633256-486591948-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|GOOGLEUPDATE, Проигнорировано пользователем, [6430], [215682],1.0.8958
[/CODE]

Зловред использовал службу Google Update Helper, так что страшного, видимо, ничего.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]2[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB[/LIST]