Скачивается .rar вместо .exe

**DiaL** · 06.10.2017, 23:45

И снова добрый вечер! Сегодня днем заметил эту проблему. Началось все с попытки запустить программу Discord, но она не запускалась и выдавала ошибку, что-то связанное с JAVA script (скриншот ошибки прикреплю чуть ниже). В итоге решил поинтересоваться, что за проблема и нашел ответ мол надо удалить это программу и заного скачать ее. И вот тут я столкнулся с этой проблемой. На оф. сайте данной программы (Discord) не хотел скачиваться .exe файл, а вместо него скачивался какой-то архив с довольно странным названием discordsetup-24-f53.rar (мой антивирус блокирует его из-за причины вирусов в нем). Ну я все же решился глянуть что это за архив такой. Сохранил его на ПК и открыл. Там был .exe файл который предлагал Сохранить/скачать, но я то знаю что это проделки Mail.ru и их Амиго и сразу же удалил этот чертов архив. После чего попросил друга загрузить установщик на google диск, но и это не помогло, скачивался тоже архив в похожим названием. Хочу отметить еще вот что: все эти архивы скачиваются с одного сайта: (не советую заходить, мало ли вирусы подхватите) https://dl.discordapp.net/apps/win/0...scordSetup.exe (данная ссылка на установщик Discrod'a). Проверка антивирусом ПК не помогла, хотя обнаружила трояны, которые были непосредственно удалены. Безопасный запуск с сетевым доступом тоже не помог, скачивается все тот же архив с того же сайта. Буду благодарен если Вы поможете с данной проблемой.
Последний скрин это пример сайта откуда скачиваются все архивы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.10.2017, 23:46

Уважаемый(ая) DiaL, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 08.10.2017, 15:21

Выполните скрипт в AVZ:

Код:

begin
 StopService('wfcre');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
 QuarantineFile('C:\Users\DiaL\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll', '');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
 DeleteFile('C:\Users\DiaL\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll', '32');
 DeleteFile('C:\Users\DiaL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\Users\DiaL\Favorites\Links\Интернет.url');
 DeleteFile('C:\Users\DiaL\Favorites\Mail.Ru.url');
 DeleteService('mrupdsrv');
 DeleteService('Updater.Mail.Ru');
 DeleteService('wfcre');
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\users\dial\appdata\local\mail.ru', '*', true);
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\users\dial\appdata\local\mail.ru');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(4);
 ExecuteRepair(13);
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог Malwarebytes AdwCleaner.

**DiaL** · 31.10.2017, 22:26

Извиняюсь что долго не отвечал. Вот лог

**Vvvyg** · 31.10.2017, 22:32

Запустите B]Malwarebytes AdwCleaner [/B](в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминается Zona если используете эту программу.

Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба этих файла в одном архиве).

**DiaL** · 05.11.2017, 13:58

Вроде бы сделал все правильно

**Vvvyg** · 05.11.2017, 16:40

Удалите в Хроме расширение Adblocker for Youtube™.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [101]
HKU\S-1-5-21-943426613-10785828-3358878262-1001\...\StartupApproved\Run: => "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"
FirewallRules: [TCP Query User{F9A5C794-241E-4C40-8E8A-02D5C942DED9}D:\zona\zona.exe] => (Allow) D:\zona\zona.exe
FirewallRules: [UDP Query User{A50B8322-E7C8-4424-BD0D-2554A656C48C}D:\zona\zona.exe] => (Allow) D:\zona\zona.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой

**DiaL** · 05.11.2017, 17:49

Вроде бы проблема решилась, скачиваются нормальные файлы, а не архивы. Спасибо! А вот по поводу расширения Adblocker for Youtube™: его нету в самих расширениях.

**Vvvyg** · 05.11.2017, 22:49

Нет, значит, нет.

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 05.11.2017, 22:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Скачивается .rar вместо .exe (заявка № 215627)

Опции темы