Подозрительные запросы на всякие линки

[Andrew1212]

Здравствуйте, обнаружил подозрительные запросы explorer.exe на всякие trafficmanager .net и.т.д
Поставил программу Fiddler на автозапуск чтобы видеть на какие линки мой комп заходит без моего ведома, то что выяснилось скриншот прикрепляю к теме.
Kaspersky internet security 16 установлен, но ему все равно на происходящее...

[Info_bot]

Уважаемый(ая) Andrew1212, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Andrew1212]

Прошу

[Vvvyg]

Стартовые, поиск, расширения от Mail.Ru, похоже, не сами ставили, удаляем?

- - - - -Добавлено - - - - -

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-3295829205-1504664317-4047991298-1001\...\Run: [AdobeBridge] => [X]
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\fff\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2015-09-18] (Mail.Ru)
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=blackbear2
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF SearchPlugin: C:\Users\fff\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2015-09-18]
FF Extension: Визуальные закладки @Mail.Ru - C:\Users\fff\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-09-18]
CHR HomePage: Default -> mail.ru/cnt/11956636
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear2","hxxp://www.google.com/"
CHR NewTab: Default -> "chrome-extension://pnooffjhclkocplopffdbcdghmiffhji/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (coprofit) - C:\Users\fff\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkbmjpofpcpmmokgmkehcpbofjombfoe [2015-11-24]
CHR Extension: (Mail.Ru) - C:\Users\fff\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-11-22]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\fff\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-11-22]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\fff\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-11-22]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\fff\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
OPR Session Restore: -> is enabled.
OPR Extension: (coprofit) - C:\Users\fff\AppData\Roaming\Opera Software\Opera Stable\Extensions\fkbmjpofpcpmmokgmkehcpbofjombfoe [2015-11-24]
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X]
2015-11-24 06:19 - 2015-11-24 06:19 - 00000000 ____D C:\ProgramData\HPjOmMxcmpcJ
2015-11-24 06:19 - 2015-11-24 06:19 - 00000000 ____D C:\ProgramData\HnshMYVCOgCSg
2015-11-24 06:19 - 2015-11-24 06:19 - 00000000 ____D C:\ProgramData\GEjcURrP
2015-11-24 06:11 - 2015-11-24 06:11 - 00000000 ____D C:\Users\fff\AppData\Roaming\ProductData
2015-11-24 06:10 - 2015-11-24 06:10 - 00000000 ____D C:\Users\fff\AppData\LocalLow\IObit
2015-11-24 06:09 - 2015-11-24 06:10 - 00000000 ____D C:\Users\Все пользователи\ProductData
2015-11-24 06:09 - 2015-11-24 06:10 - 00000000 ____D C:\Users\fff\AppData\Roaming\IObit
2015-11-24 06:09 - 2015-11-24 06:10 - 00000000 ____D C:\ProgramData\ProductData
2015-11-24 06:09 - 2015-11-24 06:10 - 00000000 ____D C:\ProgramData\IObit
2015-11-24 06:09 - 2015-11-24 06:09 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
Task: {FCB88987-4287-40B2-8FFF-097E4AE6884C} - System32\Tasks\Soft installer => C:\Users\fff\AppData\Local\Hostinstaller\1257908013_installcube.exe [2015-11-24] (SoftWare Instraller for Windows)
C:\Users\fff\AppData\Local\Hostinstaller
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
InternetURL: C:\Users\fff\Favorites\Links\Интернет.url -> hxxp://snikis.ru/?utm_source=favorites03&utm_content=e31b4c86b78545110232027a3c9070c1&utm_term=CFAB255045372EDC37AEEE93D4CA71DC
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Check Browsers' LNK.

[Andrew1212]

Прошу

[Vvvyg]

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Сообщите, что с проблемой.

[Andrew1212]

Я два раза запустил, сначала со старым логом, потом снова сделал проверку с Check Browsers' LNK. и запустил лечение.
В первый раз было всего обработано 2, во второй раз 1.

[Vvvyg]

Что с проблемами?

[Andrew1212]

Актуальны, приложить скриншот?

[Vvvyg]

Какой именно процесс лезет на "подозрительные" адреса? И как Вы их подозрительность определяете? Сейчас приложения столько запрашивают, скачивают, передают, что разобраться в этом трафике нереально. Лишнее почистили, дальше - это уже по части теории заговора...

[Andrew1212]

Процесс explorer.exe как это видно из скрина выше.

PHP код:

http://appexbingweather.trafficmanager.net/WeatherService.svc/LiveTile?city=%D0%9F%D0%B0%D1%80%D0%B8%D0%B6&lat=48.857&long=2.341&unit=C&lang=RU&mkt=en-US&region=US&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&pi=true
http://weather.tile.appex.bing.com/weatherservice.svc/livetile?city=%D0%9F%D0%B0%D1%80%D0%B8%D0%B6&lat=48.857&long=2.341&unit=C&lang=RU&mkt=en-US&region=US&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&pi=true
http://appexbingweather.trafficmanager.net/WeatherService.svc/LiveTile?city=%D0%9D%D1%8C%D1%8E-%D0%99%D0%BE%D1%80%D0%BA&lat=40.714&long=-74.007&unit=C&lang=RU&mkt=en-US&region=US&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&pi=true
http://appexbingweather.trafficmanager.net/WeatherService.svc/LiveTile?city=%D0%A1%D0%B8%D0%B4%D0%BD%D0%B5%D0%B9&lat=-33.870&long=151.207&unit=C&lang=RU&mkt=en-US&region=US&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&pi=true
http://appexbingfinance.trafficmanager.net/Market.svc/AppTile?symbol=230.10.RTSI&type=0&mkt=RU-RU&mode=0
http://appexsports.trafficmanager.net/NewsV1.svc/RSSTileNews/ru-ru/20?index=0&brand=logo 


Без теории заговора, сегодня допустим kaspersky нашел 28 вирусов, я их удалил, перезагрузил, и отовсюду пропали ярлыки opera и chrome.
Я так понимаю процесс explorer.exe если куда и имеет право обращаться, то это на офф сайт микрософта, но как видите это не только микрософт.

[Vvvyg]

Это, скорее всего апплет "Погода" из Windows лезет. Эти домены принадлежат Microsoft.

[Andrew1212]

Тогда гляньте пожалуйста на этот лог, и подскажите пожалуйста что удалить, а что оставить.

[Vvvyg]

Всё, кроме:

Код:

CrackTool.Agent, C:\Program Files\Adobe\Adobe Dreamweaver CS6\amtlib.dll, , [c2d8384a32591c1a98fa48bf867c6799], 
RiskWare.CHP, C:\Users\fff\AppData\Local\Beeline Network Manager\updater\chp.exe, , [bcdec8bad8b3c57174ac7ac48282827e], 
RiskWare.Tool.HCK, C:\Users\fff\Desktop\Магазины\Мишки Магазин\Программы\Проверка уязвимости сайта\A.W.V.S.v9.5.20141208\Acunetix.Web.Vulnerability.Scanner.v9.5.20141208\Acunetix_Web_Vulnerability_Scanner_9.0.Keygen.tPORt.rar, , [8b0f84fe731867cff2299a591ce42ed2], 
RiskWare.Tool.HCK, C:\Users\fff\Desktop\Магазины\Мишки Магазин\Программы\Проверка уязвимости сайта\A.W.V.S.v9.5.20141208\Acunetix.Web.Vulnerability.Scanner.v9.5.20141208\Acunetix_Web_Vulnerability_Scanner_9.x_Consultant_Edition_KeyGen_Hmily[LCG].zip, , [7723562cc6c56fc77859826daf51b848], 
RiskWare.Tool.HCK, C:\Users\fff\Desktop\Мусор\Съемный ЖД\Комп\WinRar 3.90 (Рус)\64\Keygen\Keygen.exe, , [3a60bcc6e2a97eb8d5c3da1c13edca36], 
RiskWare.Tool.HCK, C:\Users\fff\Desktop\Мусор\Съемный ЖД\Комп\WinRar 3.90 (Рус)\Keygen\Keygen.exe, , [1288b5cde4a7a690564200f6dc2437c9], 
RiskWare.Tool.HCK, C:\Папки рабочего стола\Новый\Флеш\WinRAR_3.90_Final_RU.zip, , [0f8b087a9fecc86e76228b6b1ae632ce], 
Trojan.KillAV, C:\Папки рабочего стола\Старый\28\ArtStudio 1.0\artstudio.1.0.rar, , [85154042f794b482c75c81a104006a96], 
Trojan.MalPack, C:\Рабочий стол XP\Мои файлы\Программы\The_Bat_5.3.8_Rus.rar, , [51495e24dab179bd9e2090c5877a0bf5], 
RiskWare.Tool.CK, C:\Рабочий стол XP\Мои файлы\Программы\Adobe Flash CS4 Professional 10.0.2\Adobe All Products Keymaker v1.03\Adobe All Products Keymaker v1.03.exe, , [adedaed47912092d4e1ac504867a2ad6], 
RiskWare.Tool.CK, C:\Рабочий стол XP\Мои файлы\Программы\Adobe Flex Builder Professional 3.0.2\crack\keygen.exe, , [6238a3df55364ee8bdabcdfc6f9138c8], 
PUP.Optional.OpenCandy, C:\Рабочий стол XP\Мои файлы\Программы\DAEMON Tools Lite\DAEMON_Tools_Lite_4.47.1.0335.exe, , [623894ee4f3c181e0332017ca85c55ab], 
RiskWare.Tool.CK, C:\Рабочий стол XP\Мои файлы\Программы\Фотопрагаммы\Intocartoon Professional 2.3.0\cr\IP230_CRK.exe, , [6a304939c6c515215006d27fab5549b7], 
PUP.Optional.OEPassViewer, C:\Рабочий стол XP\Мои файлы\Программы\Хакерские\Outlook Express Password Viever\oepv.exe, , [85152959ff8cf145a8fbdf04ce33f10f], 
RiskWare.Tool.HCK, C:\Рабочий стол XP\Мои файлы\Программы\WinRar 3.90 (Рус)\64\Keygen\Keygen.exe, , [b1e9671b4744d5615a3e9264e61a53ad], 
RiskWare.Tool.HCK, C:\Рабочий стол XP\Мои файлы\Программы\WinRar 3.90 (Рус)\Keygen\Keygen.exe, , [9ffbe0a22a6174c2633526d001ff7e82], 
HackTool.Activator, C:\Рабочий стол XP\Мои файлы\Программы\Драйвера\8\Aktivator.exe, , [96044141b1da84b2638528bacf3222de], 
HackTool.Agent, C:\Рабочий стол XP\Мои файлы\Программы\Конвертёры\YASA VOB to iPod Converter\47804e0c599035976b9ba183fbab679eb80.zip, , [108aa8da137890a673eb808640c00ef2], 
Trojan.Downloader, C:\Рабочий стол XP\Мои файлы\Программы\Обновление\Windows Sp2\crack_WinXPsp2.zip, , [8515037f8efd46f0b841309e4bb651af], 
RiskWare.Tool.CK, C:\Рабочий стол XP\Мои файлы\Программы\Обновление\Windows Sp2\crack с диска Sp2\crack\1\WIN XP ACTIVATOR.EXE, , [f7a3364cb6d540f6f768409632cf60a0], 
RiskWare.Tool.CK, C:\Рабочий стол XP\Мои файлы\Программы\Steganos Internet Anonym Pro 7.16\steganosinternetanonymprov7.1.6keygenembrace.zip, , [5e3c4f3343486ec8a6b054fd13ed748c], 
Trojan.Agent.CK, C:\Рабочий стол XP\Мои файлы\Программы\TheBat! v3.0.1.33 Professional edition\crack\The BAT! 3.0.1 - Key generator.exe, , [d2c8552de9a2e25425cafdd02ed31ae6], 
Trojan.Agent, C:\Рабочий стол XP\Мои файлы\Программы\NeRo8\Activation\Keymaker - Embrace.exe, , [4852add58803191d5e7400ccc23f0af6],

Затем рекомендую удалить Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другим антивирусом. Используйте в бесплатном варианте для периодических проверок.

[Andrew1212]

Все нормально, спасибо...

[Vvvyg]

Выполните рекомендации после лечения.