Что-то лезет на ww1.bestrepack.net

**kc_duke** · 09.03.2020, 17:08

Прошу помощи в удалении зверька. Какое-то приложение примерно раз в час лезет на ww1.bestrepack.net. Нод это пресекает, но в его логах почему-то этой операции нет. Сначала прогнал Malwarebytes. Он нашел в одном из расширение оперы некий PUP.Optional.RussAd. Грохнул папку с этим расширением, но всё равно вылазит.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.03.2020, 17:09

Уважаемый(ая) kc_duke, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.03.2020, 19:19

DriverPack уже в карантине Malwarebytes, проблема сохраняется?

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ярлык для OperaLauncher.exe.lnk"         -> ["C:\Program Files\Opera AC\OperaLauncher.exe"]
>>>  "C:\Users\kc_duke\AppData\Local\Microsoft\Windows\GameExplorer\{816D0197-9703-4226-8A46-5FF06A2E9753}\PlayTasks\0\Играть.lnk"           -> ["I:\GAMES\Silent Storm\GAME.EXE"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Foxit Reader.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Запуск Microsoft Office Outlook.lnk"     -> ["C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE"  =>> /recycle]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ярлык для foobar2000.exe.lnk"  -> ["C:\Program Files\foobar2000\foobar2000.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\PotPlayer.lnk"     -> ["C:\Program Files\PotPlayer\potplayermini.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\SendTo\MediaInfo.lnk"   -> ["C:\Program Files\K-Lite Codec Pack\Tools\mediainfo.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\SendTo\mirkes.de Tiny Hexer.lnk"  -> ["C:\Program Files\mirkes.de\Tiny Hexer\mpth.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk"       -> ["C:\Program Files\Skype\Phone\Skype.exe"  =>> /sendto:]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FuturixImager.lnk"      -> ["C:\Program Files\FuturixImager\fximager.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\README.lnk"    -> ["C:\Program Files\Unlocker\README.TXT"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"      -> ["C:\Program Files\Unlocker\UnlockerAssistant.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Uninstall.lnk"           -> ["C:\Program Files (x86)\Unlocker\uninst.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Website.lnk"   -> ["C:\Program Files\Unlocker\Unlocker.url"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Winpower\Uninstall Winpower.lnk"  -> ["C:\Program Files\MonitorSoftware\UninstallerData\Uninstall.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Winpower\Winpower.lnk"  -> ["C:\Program Files\MonitorSoftware\UPSMS.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ДубльГИС\2гис.lnk"      -> ["C:\Program Files\2gis\3.0\grym.exe"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\foobar2000.lnk"      -> ["C:\Program Files\foobar2000\foobar2000.exe"]
>>>  "C:\Users\kc_duke\Documents\Описание скриптов.rtf.lnk"  -> ["C:\Program Files\Opera AC\Описание скриптов.rtf"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\foobar2000 (2).lnk"  -> ["C:\Program Files\foobar2000\foobar2000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD Pro [alpha]\WinISD Pro Alpha.lnk"  -> ["C:\Program Files (x86)\Linearteam\WinISD Pro\WinISD.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD Pro [alpha]\Readme.lnk"  -> ["C:\Program Files (x86)\Linearteam\WinISD Pro\readme.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD Pro [alpha]\Version history.lnk"   -> ["C:\Program Files (x86)\Linearteam\WinISD Pro\versions.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD Pro [alpha]\WinISD Pro Documentation.lnk"    -> ["C:\Program Files (x86)\Linearteam\WinISD Pro\winisd.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD Pro [alpha]\Uninstall WinISD Pro.lnk"        -> ["C:\Program Files (x86)\Linearteam\WinISD Pro\UNWISE.EXE"]
>>>  "C:\Users\kc_duke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Helium Backup.lnk"        -> ["C:\Users\kc_duke\AppData\Local\Vivaldi\Application\chrome_proxy.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\True Audio\Tau Analyzer Uninstall.lnk"    -> ["C:\Program Files (x86)\True Audio\Tau Analyzer\TauAnalyzer-uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\True Audio\Tau Analyzer v1.2.lnk"         -> ["C:\Program Files (x86)\True Audio\Tau Analyzer\TauAnalyzer.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**kc_duke** · 10.03.2020, 13:56

Сообщение от Vvvyg

DriverPack уже в карантине Malwarebytes, проблема сохраняется?

Сохраняется, вот только что опять вылезло. Причем сразу на запуске винды.
Выполнил и просканировал. Файлы во вложении.

**Vvvyg** · 10.03.2020, 15:32

Какой-либо браузер в это время был запущен?

**kc_duke** · 10.03.2020, 15:56

Нет, только выполнил код в ClearLNK. Перезагрузился и тут же при старте системы нод ругнулся. Сейчас попробую оставить только firefox(основной браузер) и понаблюдать. Обычно у меня одновременно еще запущены opera 12 и vivaldi.
Добавлено: Вот только что при запущенном только firefox вылезло.

**Vvvyg** · 10.03.2020, 21:07

Почистите куки/кэш во всех браузерах для верности и вспомните - с BestRepack.net ничего не скачивали/устанавливали? Включая саму систему.
И подробности в предупреждении Eset есть, что за процесс туда лезет?

Что-то лезет на ww1.bestrepack.net (заявка № 224648)

Опции темы