Подозрение на вирус

**goutsoullac** · 06.03.2018, 00:28

Подозрение на вирус. Все время пытается внести изменения в сертификат. Что интересно, появляется на протяжении нескольких дней именно с 22.30 (по киевскому времени)

Процесс: C:\Windows\SysWOW64\regsvr32.exe
Родительский процесс:C:\Windows\Sysnative\regsvr32.exe , (0)
05.03.2018 22:40:08 Изменить Издатель сертификата [Заблокировано]05.03.2018 22:51:53 Изменить Издатель сертификата [Авто заблокир.]
Детальное описание:
Реестр: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIF ICATES\AUTHROOT\CERTIFICATES\26D9E607FFF0C58C7844B 47FF8B6E079E5A2220E\[Blob]
Содержание: 03 00 00 00 01 00 00 00 14 00 00 00 26 D9 E6 07 FF F0 C5 8C 78 44 B4 7F F8 B6 E0 79 E5 A2 22 0E 20 00 00 00 01 00 00 00 FD 03 00 00 30 82 03 F9 30 82 02 E1 A0 03 02 01 02 02 09 00 B6 E1 AB F3 8B 9A B4 1A 30 0D 06 09 2A 86 48 86 F7 0D 01 01 05 05 00 30 7D 31 0B 30 09 06 03 55 04 06 13 02 49 4C 31 11 30 0F 06 03 55 04 08 13 08 47 75 73 68 20 44 61 6E 31 12 30 10 06 03 55 04 07 13 09 48 65 72 74 7A 69 6C 69 61 31 21 30 1F 06 03 55 04 0A 13 18 47 72 65 65 6E 54 65 61 6D 20 49 6E 74 65 72 6E 65 74 2C 20 4C 74 64 2E 31 0C 30 0A 06 03 55 04 0B 13 03 57 65 62 31 16 30 14 06 03 55 04 03 13 0D 63 6C 6F 75 64 67 75 61 72 64 2E 6D 65 30 1E 17 0D 31 34 30 37 32 33 31 37 32 35 31 35 5A 17 0D 34 34 30 37 31 35 31 37 32 35 31 35 5A 30 7D 31 0B 30 09 06 03 55 04 06 13 02 49 4C 31 11 30 0F 06 03 55 04 08 13 08 47 75 73 68 20 44 61 6E 31 12 30 10 06 03 55 04 07 13 09 48 65 72 74 7A 69 6C 69 61 31 21 30 1F 06 03 55 04 0A 13 18 47 72 65 65 6E 54 65 61 6D 20 49 6E 74 65 72 6E 65 74 2C 20 4C 74 64 2E 31 0C 30 0A 06 03 55 04 0B 13 03 57 65 62 31 16 30 14 06 03 55 04 03 13 0D 63 6C 6F 75 64 67 75 61 72 64 2E 6D 65 30 82 01 22 30 0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 82 01 0F 00 30 82 01 0A 02 82 01 01 00 BE 81 E2 DB E6 40 E8 C8 A9 E7 6C 99 9E F6 E0 C4 67 42 12 8D 3D 04 74 D4 3D 28 49 AB F5 14 9C 82 94 CF 2F B5 8D E6 BC 42 B1 90 04 2D E0 96 15 A6 5E 6A 5A 13 B3 CD 9C 5D B3 0D 6C B9 2B 87 76 84 2D F8 34 10 D8 51 60 64 C1 1F FB 80 AB A7 CA 30 A5 F2 A7 C3 14 A1 CE 63 D4 A0 2A 59 5B A9 7B 0A 11 D2 34 66 CB FC 23 56 41 3E D7 BE 19 5B D8 38 CC 79 29 36 20 F3 76 AD C5 B3 13 0B 53 81 28 90 3B 41 87 9F BA 87 5D F7 DF 87 4E 5D 88 BE 90 C9 FD 1E 5A 9C 16 57 9F 28 E2 6C 59 C8 61 6D E1 AC BF 05 2B F7 47 11 A0 38 2B 7C 6C 8A 7A AB 31 A6 57 67 BB A4 35 85 FF 4D 7C 14 CE CE B0 96 F9 2A CC C2 05 9F DA E1 1C 12 C3 BE 34 6F 1E 35 E2 1C D9 05 98 F2 23 A6 EC C4 0E 60 1A F5 6E 5F 60 EF 6

Screenshot_1.jpg

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.03.2018, 00:29

Уважаемый(ая) goutsoullac, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 09.03.2018, 12:35

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\PROGRA~3\60afa52c\47dcc7e0.dll', '');
 QuarantineFile('C:\Users\08A4~1\AppData\Local\EB360C~1\{47DCC~1', '');
 QuarantineFile('C:\Users\08A4~1\AppData\Local\EB360C~1\{47DCC~1.', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\DuckGo\duckgo.exe', '');
 QuarantineFile('C:\Users\Олег\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Users\Олег\appdata\locallow\duckgo\duckgo.dll', '');
 DeleteFile('C:\PROGRA~3\60afa52c\47dcc7e0.dll', '32');
 DeleteFile('C:\Users\08A4~1\AppData\Local\EB360C~1\{47DCC~1', '32');
 DeleteFile('C:\Users\08A4~1\AppData\Local\EB360C~1\{47DCC~1.', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\DuckGo\duckgo.exe', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\Олег\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\Олег\appdata\locallow\duckgo\duckgo.dll', '32');
 DeleteFile('C:\Users\Олег\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "{0E0F0C47-0E7F-0E04-0911-0904790E117F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{7EF57B47-92B1-343E-C7CF-485F9F955C29}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DuckGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "F4C793C0-07DE-4739-C01B-4380B92D959C" /F', 0, 15000, true);
 DeleteFileMask('c:\users\08a4~1\appdata\local\eb360c~1', '*', true);
 DeleteFileMask('c:\users\олег\appdata\local\duckgo', '*', true);
 DeleteFileMask('c:\users\олег\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\олег\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\олег\appdata\locallow\duckgo', '*', true);
 DeleteDirectory('c:\users\08a4~1\appdata\local\eb360c~1');
 DeleteDirectory('c:\users\олег\appdata\local\duckgo');
 DeleteDirectory('c:\users\олег\appdata\local\mail.ru');
 DeleteDirectory('c:\users\олег\appdata\local\yc');
 DeleteDirectory('c:\users\олег\appdata\locallow\duckgo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BD11DD40C-33EF-4E9D-B9C1-92FD3CAFC8E1%7D&gp=811610 - Поиск@Mail.Ru
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 -  - (no file)

Сделайте новый лог такой версией Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**goutsoullac** · 09.03.2018, 18:35

Спасибо!

Не могу прислать файл карантина AVZ, так как страница выдает, что данный файл уже был загружен

Сделайте новый лог такой версией Autologger.

Тоже не удается сделать, т.к. программа выдает сообщение о сбое обновления базы.

Сделайте лог Malwarebytes AdwCleaner.

Не получается запустить, выдает: Screenshot_2.jpg

- - - - -Добавлено - - - - -

Проверил Malwarebytes Free и он обнаружил:

В карантин он отправил из 10 только 8.

Файл: 10
Adware.MailRu.BatBitRst, C:\USERS\Олег\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Проигнорировано пользователем, [8277], [481467],1.0.4276
Adware.MailRu.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\PROGRAMDATA\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\PROGRAMDATA\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\PROGRAMDATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR0. DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
Adware.MailRu.BatBitRst, C:\PROGRAMDATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR1. DAT, Проигнорировано пользователем, [8277], [-1],0.0.0
PUP.Optional.MailRu, C:\USERS\Олег\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Проигнорировано пользователем, [634], [454830],1.0.4276

**Vvvyg** · 09.03.2018, 20:06

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**goutsoullac** · 09.03.2018, 22:16

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Когда запускал с Рабочего стола, то программа отказывалась создавать файлы отчета.
Пришлось переместить ЕХЕ на диск D и тогда получилось.

**Vvvyg** · 10.03.2018, 00:47

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR HomePage: Default -> inline.go.mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600" 
CHR NewTab: Default -> "active": true,
            "entry": "chrome-extension://lfgkmlldjpjacgicdjmmgcboihbghpal/visual-bookmarks.html"
         , 
            "active": false,
            "entry": "chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html"
          
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B1E926190-5E28-4F8D-BD77-B5C0B8C431E7%7D&gp=811610
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
Toolbar: HKU\S-1-5-21-942094326-1721893837-1096571627-1000 -> No Name - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} -  No File
OPR Extension: (AdGuard Антибаннер) - C:\Users\Олег\AppData\Roaming\Opera Software\Opera Stable\Extensions\bopfaehpakahokaelnomggbohfbimcia [2018-01-18]
OPR Extension: (Video Downloader Pro) - C:\Users\Олег\AppData\Roaming\Opera Software\Opera Stable\Extensions\ibehiiilehaakkhkigckfjfknboalpbe [2018-02-25]
OPR Extension: (Video Downloader 2015) - C:\Users\Олег\AppData\Roaming\Opera Software\Opera Stable\Extensions\mpnpijldpdipnfbjpfjgopcdnjejgbda [2018-02-25]
OPR Extension: (SaveFrom.net помощник) - C:\Users\Олег\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2018-02-10]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
2018-03-06 22:38 - 2018-03-06 23:02 - 000000000 ____D C:\ProgramData\60afa52c
2018-02-10 20:57 - 2018-02-10 20:57 - 000010236 _____ C:\Windows\system32\DjbE8kKPw7rgEca79w1UBY9cVKpHJVt8Xr2ni1Lb-7NGrBReoSE8OGKiYTlC-nFONq8M8FuORTO4KV6X-Z8c3-hIKzV0AG0vfh_mJjkcKKyIOmCOnrXXmgTAArcOUqQIzZKe8ylr1vpYNiW9oBsGbPpkucktYaMJ9tG_6LxaysigrkIGJGBgEgN9UlE_x8OKsABH33lRr.lnk
2018-02-10 20:14 - 2018-02-10 20:14 - 000010332 _____ C:\Windows\system32\75WJdUs1QesNJzVIQBzPCdcA35oru-lo3T3APcSlNBHxPvCXLGSKvK2rW7-BXDaImThyguym3usaVFUmFzy_N5AE-TQEJfZ0JIYZK8o6DEProDjN2yDZf_-_q-g_uqyT4KPVmx0cfnJCLNtO0NLcWHVXloOxz8GSLBvrS2F4MvrmMJQY4nXDUthgVzhVAVa_sXRxfR73Z.lnk
2018-02-09 22:40 - 2018-02-09 22:40 - 000003452 _____ C:\Windows\system32\JqU8mYbu1WJWGE3Z0YQqq7eA3VMnnyx8RvxBHET7QlqKQTebx6M4lKiolCupoMYNRRsSP0OKmDVpRa7q1rzd0pFPjrIihiulLZPmGTy3mk_na3eCAPxDz5ncTGEi-DF7F13q-fXlrZNiECRp7UXDbfRiTqpm_Xc-cpuw656Pc9PqwrkMbzIGtNqlYLNIazPmmMfWbdDcL.lnk
2018-03-06 23:23 - 2017-11-05 00:05 - 000000000 ____D C:\ProgramData\DirectX11b
2018-03-06 22:57 - 2017-11-20 21:46 - 000000000 ____D C:\AdwCleaner
C:\Users\Олег\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF [127]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [135]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [134]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [155]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**goutsoullac** · 10.03.2018, 18:08

Спасибо! Сделал. Приложил файл.
Очистил кэш и cookies-файлы браузеров.
Проверил Malwarebytes Free и он ничего не обнаружил!

**Vvvyg** · 10.03.2018, 18:11

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Подозрение на вирус (заявка № 217990)

Опции темы