Вирус при подключении к интернету, запуске браузеров и открытии сайта в процессе svchost.exe
Здравствуйте, с недавнего времени антивирус аваст стал сигнализировать о вирусе в процессе svchost.exe. Происходит это при подключении к интернету, запуске браузеров и открытии любого сайта, при этом, сайты открываются нормально. Утилиты, вроде Доктора Веба не помогли. Надеюсь на вашу помощь. Спасибо. Логи AVZ и HJT прикрепляю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Алексей2894, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Американский ProxyServer="162.243.149.85:8080" сами прописали?
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\SupTab\uninstall.exe','');
QuarantineFile('C:\Users\CD86~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\Redist\VCRedist.exe','');
QuarantineFile('C:\Windows\TEMP\VKDownloader_restartonfail\InstallAfterRebootService0.exe','');
DeleteService('Rerun service for VK Downloader');
DeleteFile('C:\Windows\TEMP\VKDownloader_restartonfail\InstallAfterRebootService0.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aimersoft Helper Compact.exe','command');
DeleteFile('C:\Users\CD86~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Windows\system32\Tasks\{4E6A1843-F515-4816-B9A7-4FC783E75C27}','64');
DeleteFile('C:\Program Files (x86)\SupTab\uninstall.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Расширение для браузеров VK Downloader (Загрузчик Вконтакте) удалите, если найдется
Скрипт выполнил. Да, прокси-сервер прописывал сам, чтобы зайти на один сайт. Это было давно, да и сам он был прописан, но отключен. Ну, я его стёр уже. Логи вот новые сделал, в HJT, AVZ, и RSIT. Карантин тоже прилагаю.
Пофиксил, удалил, папка эта была пустой. Всё так и осталось, при включении интернета, при открытии любого браузера, либо при открытии любого сайта, выскакивает эта угроза.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2014-08-13]
OPR Extension: (SaveFrom.net helper) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2014-09-18]
Task: {ED57C93C-D1A9-4263-AA38-4A121D96E078} - \UpdaterEX No Task File <==== ATTENTION
TEMP:
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Больше такого сообщения не выскакивает, спасибо за помощь Но, меня смущает один момент. Теперь когда я включаю интернет, запускаю браузер и открываю любой сайт, буквально на секунду открывается пустое окошко командной строки и сразу закрывается. Не связано ли это с этим? Раньше его не было. А теперь сообщение не выскакивает, а это появилось.
Я имею ввиду, что теперь вместо того сообщения аваста, когда я подключаюсь к интернету, либо открываю любой из браузеров или сайтов, появляется на долю секунды пустое окошко cmd.exe и сразу же исчезает. Раньше такого не было. Это нормально?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: