Вирус подменяет скачиваемый файл на фейковый

**Bradly** · 27.11.2017, 10:15

Добрый день. Не удается вычислить заразу. При попытке скачать из любого браузера файл на скачивание идет подменный в архиве zip, в который вложен еще один zip, в котором лежит exe. Drweb ничего не видит, Kasper тоже не находит. Прошу помощи...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.11.2017, 10:17

Уважаемый(ая) Bradly, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 29.11.2017, 07:11

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=79C4DAE5E97D9549A8256E632CC682E9&utm_d=20171013
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395657038&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA281579615796&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395657038&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA281579615796&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://www.gigabase.ru/search?q={searchTerms}&clid=1
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060} - mail.ru: Поиск в Интернете - http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 192.168.2.2
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 8.8.8.8
O17 - HKLM\System\CSS\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 192.168.2.2
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 192.168.2.2
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{88E399D1-890C-4100-82DC-3F8B18E3A915}: NameServer = 82.202.226.203
O20 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL
O20-32 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~1.DLL
O22 - Task (Ready): CurrencyConvertor - C:\Users\Дизайнер\AppData\Roaming\CurrencyConvertor\python\pythonw.exe "C:\Users\Дизайнер\AppData\Roaming\CurrencyConvertor\ml.py" --APPNAME="CurrencyConvertor" (file missing)
O22 - Task (Ready): CurrencyConvertor2 - C:\Users\Дизайнер\AppData\Roaming\CurrencyConvertor\python\pythonw.exe "C:\Users\Дизайнер\AppData\Roaming\CurrencyConvertor\app.py" (file missing)
O22 - Task (Ready): curls - C:\Users\3869~1\AppData\Roaming\curl\curl.exe (file missing)

Очистите кэш и cookies-файлы браузеров и кэш DNS.

Сделайте лог Malwarebytes AdwCleaner.

**Bradly** · 29.11.2017, 09:17

Почитал темы и статьи на вашем сайте, посмотрел в темах скрипты как делаются для AVZ разобрался как это работает. Прописал скрипт для AVZ применил, после прогона вирус исчез. Так что теперь все работает нормально. Спасибо...

**CyberHelper** · 29.11.2017, 09:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус подменяет скачиваемый файл на фейковый (заявка № 216472)

Опции темы