Подмена скачивающихся файлов

[arturblokhin]

При скачивании с облачных хранилищ ссылка на скачиваемый файл заменяется на скачивание archive-0f-fe6.zip
На некоторых страницах 4pda.ru происходит подмена сертификата.

[Info_bot]

Уважаемый(ая) arturblokhin, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[arturblokhin]

И так нашел подмену ДНС в параметрах сетевого адаптера. Удалил. Все встало на свои места. Но проверьте пожалуйста лог. Может где-то что-то лежит. Спасибо

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\RPD\Favorites\Links\Интернет.url"  ->                  hxxp://enmatic.ru/?utm_source=favorites03&utm_content=bbaeade53d20d14b8c49192a1026be5e&utm_term=18CEDF54EA06D63A937E697F03B87E8A&utm_d=20171001

Запустите HijackThis, расположенный в папке Autologger и пофиксите всё, что будет из этого списка (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B635FC6A1-F6F2-4648-8B57-248F1C30F410%7D&gp=811014 - Поиск@Mail.Ru
O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\RPD\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll (file missing)
O4 - MSConfig\startupreg: MinerGateGui [command] = C:\Program Files\MinerGate\minergate.exe --auto (file missing) (HKCU) (2017/10/17)
O4 - MSConfig\startupreg: rjmeglrlrw [command] = C:\Windows\explorer.exe "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=18CEDF54EA06D63A937E697F03B87E8A&utm_d=20171001" (HKCU) (2017/11/22)
O4 - MSConfig\startupreg: ycAutoLaunch_2C92B466847482EEE5675F8257523445 [command] = C:\Users\RPD\AppData\Local\yc\Application\yc.exe /prefetch:5 (file missing) (HKCU) (2017/11/22)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 178.132.6.57
O17 - HKLM\System\CCS\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 193.238.153.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 52.56.51.39
O17 - HKLM\System\CCS\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E582F897-8CE3-4073-B347-28C366992933}: [NameServer] = 82.202.226.203
O22 - Task (Job): (Ready) wupdate.job - C:\Users\RPD\AppData\Local\wupdate\wupdate.exe
O22 - Task: DuckGo Task - C:\Users\RPD\AppData\Local\DuckGo\duckgo.exe (file missing)
O22 - Task: svshost - C:\Users\RPD\AppData\Local\svshost\svshost.exe --stid="15020" (file missing)
O22 - Task: wupdate - C:\Users\RPD\AppData\Local\wupdate\wupdate.exe (file missing)
O23 - Service S2: Ea3Host - C:\Windows\system32\Ea3Host.exe (file missing)

Сделайте лог Malwarebytes AdwCleaner.