"Установщик программы" поковырялся в браузерах и установил много софта
Здравствуйте!
Не думал, что когда-нибудь так примитивно попадусь и скачаю гадость из интернета, но таки скачал и даже запустил на ноутбуке, Windows 7x64.
Вот ссылка на страницу с анонсом программы-распознавателя текста из аудио, если будет интересно/полезно: http://ahs-soft.com/rcr1.html
Наверно это самая убедительная симуляция полезной страницы, что мне встречалась. Что происходило:
В общем, скачал по ссылке с той страницы, опасливо запустил, увидел, что открепились ярлыки оперы и хрома из панели быстрого запуска, и тут же прикрепились, что мне уже не понравилось. Пока искал и убивал подозрительные процессы в диспетчере, в быстрый запуск добавились ярлыки на одноклассников, вконтакте и куда-то ещё, которые после убийства не понравившихся мне процессов я тут же удалил. Пару раз ругнулся Avast. Зашёл в диспетчер программ, торопливо удалил появившийся мусор, что-то с мэйлру связанное. Погуглив, удалил расширение QuickSearch, появившееся в Chrome, Opera и Firefox (появлялось у других со схожими признаками). Обнаружил, что программа установки изменяла файлы manifest,json у всех трёх браузеров. Также заменила ярлыки браузеров, которые нашла, своими, где прописан объект: C:\Users\admin\AppData\Roaming\Browsers\exe.xoferi f.bat "http://reqque.ru/go.php"
Два главных проявления вируса, которые я заметил: установка в фоне кучи софта (возможно безвредного: гаджеты производительности, утилиты быстрого управления ПК) и автоматическое открытие нового окна браузера (при запуске браузера) с кучей переадресаций с одного адреса на другой.
Подумав, я восстановил систему на сутки или двое назад. Даты изменения файлов manifest.json изменились на более ранние, только у хрома этот файл остался "изменён" в примерное время запуска вируса. Не знаю, за что он отвечает, но то, что программа прошлась по ним, мне однозначно не нравится.
Прогнал полное сканирование Авастом, он ничего подозрительного не нашёл, потом KVRT, та поругалась на четыре временных файла, и я отправил их в карантин.
Суть вопроса: На данный момент никаких признаков вируса не вижу. Но чувствую некоторую паранойю. Нужно ли проверить и очистить что-то ещё? Логи из правил прикрепляю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) LouieCK, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
Ответить с цитированием
