При скачивании файлов с интернета подменяется zip архивом и удаляется как вирус

**Volnistiy** · 07.09.2018, 11:16

Добрый день!
Win7x64 Home
При скачивании любым броузером, любого файла, определяется как вирус и удаляется.
Антивирусов нет, Windows Defender не доступен (нет как службы), в панели управления пустая иконка (Отказано в доступе и т.д.)
Прогонялся компьютер CCleaner, Malwarebytes, SpyHunter, Avz, HJT, Eset online scanner.
Все надстройки отключены или удалены. DNS используются публичные от гугл

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.09.2018, 11:21

Уважаемый(ая) Volnistiy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 09.09.2018, 15:05

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O2 - HKLM\..\BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O4 - (disabled) HKCU\..\Run-: [CrashReportUpdater] = C:\Windows\Temp\temp10.exe  (file missing)
O4 - (disabled) HKCU\..\Run-: [ICQ] = C:\Program Files (x86)\ICQ7M\ICQ.exe silent loginmode=4 (file missing)
O4 - (disabled) HKCU\..\Run-: [MailRuUpdater] = C:\Users\Настя\AppData\Local\Mail.Ru\MailRuUpdater.exe  (file missing)
O4 - (disabled) HKCU\..\Run-: [MobileDocuments] = C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe (file missing)
O4 - (disabled) HKCU\..\Run-: [NvUpdService] = C:\Users\Настя\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe /app 2E935170220AC46B153DBA3778813765 (file missing)
O4 - (disabled) HKCU\..\Run-: [YandexSearchBand] = C:\Users\Настя\AppData\Local\Yandex\SearchBand\Application\4.0.0.1725\searchbandapp64.exe /auto (file missing)
O4 - (disabled) HKCU\..\Run-: [mrupdsrv] = C:\Users\Настя\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe --u (file missing)
O4 - HKLM\..\Session Manager: [BootExecute] = sh4native 7099 (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Guard.Mail.ru.gui] = C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe /gui (file missing)

Какие настройки DNS в маршрутизаторе?

**Volnistiy** · 10.09.2018, 09:33

Доброго утра!
Ключи пофиксены, настройки DNS от провайдера (проверено), так же ставил публичные от гугл ipconfig /flushdns выполнен
результата пока нет
UPD На новом профиле все то же самое

**Vvvyg** · 10.09.2018, 21:42

Странности у вас в сети. 192.168.13.1 - это что, роутер?
Эти адреса знакомы?

Код:

O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{930DA3CA-6CE0-48F3-9E20-B05B438E41FB}: [NameServer] = 10.77.48.115
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{930DA3CA-6CE0-48F3-9E20-B05B438E41FB}: [NameServer] = 10.77.48.99

Если нет, тоже пофиксите в HijackThis.
Далее, в логе AVZ:

Host="odnoklassniki.ru", IP="", Ping=Error (11010,0,0.0.0.0)
Host="vk.com", IP="192.168.13.201", Ping=OK (0,2,192.168.13.201)
Host="twitter.com", IP="192.168.13.201", Ping=OK (0,4,192.168.13.201)
Host="facebook.com", IP="192.168.13.201", Ping=OK (0,1,192.168.13.201)
Host="ru-ru.facebook.com", IP="192.168.13.201", Ping=OK (0,1,192.168.13.201)

Хорошо, одноклассники заблочены. Но почему остальные соцсети резолвятся на локальный хост 192.168.13.201. Что это? Провайдерский DNS туда явно не пошлёт.

**Volnistiy** · 11.09.2018, 08:41

Доброе утро!
Битва продолжается,
по поводу резолвов - просто наш гейт все запросы на соцсети перенаправляет на внутренний рабочий сервер
13.1 гейт на линуксе

**Vvvyg** · 11.09.2018, 21:36

Всё же, какие на этом гейте настройки DNS& Проблема наблюдается только на одном компьютере?

**Volnistiy** · 12.09.2018, 11:16

Этот ноут принесен из дома в офисную сеть, все домашние сетевые настройки удалены. На гейте указаны только провайдерские DNS. Проблема наблюдается только на этом ноутбуке
Выкладываю свежие логи с autologer

**Vvvyg** · 12.09.2018, 20:30

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Users\Настя\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\eae16423b1fced7a\Yandex.lnk');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'CrashReportUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'MailRuUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'mrupdsrv');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'YandexSearchBand');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'Guard.Mail.ru.gui');
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Volnistiy** · 13.09.2018, 09:55

Скрипт выполнил. Лог прилагаю

**Vvvyg** · 13.09.2018, 19:56

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
deltmp
delref %SystemDrive%\USERS\НАСТЯ\DESKTOP\SPYHUNTER 4.28.7.4850 REPACK (& PORTABLE) BY TRYROOM\SPYHUNTERPORTABLE\APP\SPYHUNTER\ESGIGUARD.SYS
delref %Sys32%\DRIVERS\XKOJRKHL.SYS
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JP2SSV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MCAFEE\SITEADVISOR\NPMCFFPLG32.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\NPMCSN~1.DLL
delref %SystemDrive%\PROGRA~2\MCAFEE\MSC\NPMCSN~1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\SYSTEMCORE
delref %Sys32%\GWX\GWXCONFIGMANAGER.EXE
delref %Sys32%\GWX\GWXDETECTOR.EXE
delref %Sys32%\GWX\GWXUXWORKER.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Проблема ещё актуальна?

**Volnistiy** · 14.09.2018, 09:44

Доброго времени суток!
Спасибо Вам за оказываемую помощь в решении задачки, да проблема очень актуальна.
Поделюсь своими мыслями. Все скачиваемые файлы через IE и Chrome все равно помечает как вирус и удаляет. Получается что файлы блокирует Windows Defender. В папке "program files\windows defender" были обнаружены symlink т.е. все файлы которые должны там находится на месте, но они symlink, на папку %windir%\system32\config. Заменил с рабочей машины - в панели управления появился значок дефендера, но войти по прежнему не дает - "Не удается инициализировать приложение 0x80080002". Так же, нет службы "Windows defender" и "Защитник Windows". Есть большое подозрение что именно он и парализует работу ,хотя как служба не установлен либо чем то подменен
UPD Mozilla Firefox позволяет качать все файлы нормально