Попал под эпидемию. Кажется, MITM, но не уверен. Качает троян в архивах.
Браузеры стали отказываться от защищенных протоколов "HTTPS". При чем все до единого. Вирус работает по такому принципу: если пользователь хочеть скачать любой .ехе файл с http://, то качается .zip архив со своими копиями внутри. В конце цепочки лежит вирусный файл. Сканировал AVZ, MBAM, ESET Online, DrWeb CureIT, UnHackMe. Как я понял из похожих сообщений, нужно прикрепить лог из HijackThis. Надеюсь на помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) iH4lfyR3kt, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Сделайте лог Malwarebytes AdwCleaner.Код:O17 - HKLM\System\CSS\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 178.132.6.57 O17 - HKLM\System\CSS\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 193.238.153.54 O17 - HKLM\System\CSS\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 46.101.28.31 O17 - HKLM\System\CSS\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 52.56.51.39 O17 - HKLM\System\CSS\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 52.56.51.39 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5b251ab8-17e9-4fd1-a50c-4eb4b52efa69}: NameServer = 82.202.226.203 O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL (file missing) O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task (Disabled): AVGPCTuneUp_Task_BkGndMaintenance - D:\Programs\AVG PC TuneUp\tuscanx.exe $(Arg0) (file missing) O22 - Task (Disabled): PC Line Mgr - C:\Users\Chris\AppData\Local\FilterStart\FilterStart.exe (file missing) O22 - Task (Disabled): Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing) O22 - Task (Disabled): \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing) O22 - Task (Ready): \Microsoft\Windows\rempl\shell - C:\Program Files\rempl\remsh.exe O22 - Task (Ready): \Microsoft\Windows\rempl\shell-unlock - C:\Program Files\rempl\remsh.exe /RunUsoScanOnly
WBR,
Vadim
Проблема уже решилась, но лог оставлю:
# AdwCleaner 7.0.4.0 - Logfile created on Thu Nov 02 10:42:08 2017
# Updated on 2017/27/10 by Malwarebytes
# Database: 11-02-2017.1
# Running on Windows 10 Home (X64)
# Mode: scan
# Support: https://www.malwarebytes.com/support
***** [ Services ] *****
No malicious services found.
***** [ Folders ] *****
PUP.Optional.Legacy, C:\Users\Chris\AppData\Roaming\..\Local\wupdate
PUP.Optional.Legacy, C:\Users\Chris\AppData\Local\Поиcк в Интeрнете
PUP.Optional.Legacy, C:\Users\Chris\AppData\Local\Вoйти в Интeрнет
PUP.Optional.Mail.Ru, C:\Windows\System32\config\systemprofile\AppData\L ocal\Mail.Ru
PUP.Optional.Mail.Ru, C:\Windows\SysWOW64\config\systemprofile\AppData\L ocal\Mail.Ru
Rogue.Multiple, C:\Windows\filter
PUP.Optional.DriverPack, C:\Users\Мама\AppData\Roaming\DRPSu
PUP.Optional.AuslogicsDriverUpdater, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics
PUP.Optional.AuslogicsDriverUpdater, C:\ProgramData\Auslogics
PUP.Optional.AuslogicsDriverUpdater, C:\ProgramData\Application Data\Auslogics
PUP.Optional.AuslogicsDriverUpdater, C:\Users\All Users\Auslogics
PUP.Optional.AuslogicsDriverUpdater, C:\Users\Все пользователи\Auslogics
***** [ Files ] *****
No malicious files found.
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious WMI found.
***** [ Shortcuts ] *****
No malicious shortcuts found.
***** [ Tasks ] *****
No malicious tasks found.
***** [ Registry ] *****
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\Microsoft\Gosearchq
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Gosearchq
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\Microsoft\Gosearch
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Gosearch
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\fitlr
PUP.Optional.Legacy, [Key] - HKCU\Software\fitlr
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\ScreenUp
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\ScreenUp
PUP.Optional.Legacy, [Key] - HKCU\Software\ScreenUp
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\UBar
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}
Adware.HPDefender, [Value] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\Microsoft\Windows\CurrentVersion\Exp lorer\StartupApproved\Run | QIPApp
PUP.Optional.DriverPack, [Key] - HKLM\SOFTWARE\drpsu
PUP.Optional.DriverPack, [Key] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\drpsu
PUP.Optional.DriverPack, [Key] - HKCU\Software\drpsu
PUP.Optional.SearchGo, [Key] - HKU\S-1-5-21-1381298586-1670128382-1468298087-1004\Software\iesg
PUP.Optional.SearchGo, [Key] - HKCU\Software\iesg
PUP.Optional.AuslogicsDriverUpdater, [Key] - HKLM\SOFTWARE\Auslogics
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries.
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries.
*************************
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########
Почему то не пропустили сообщение с логом. Проблема уже решилась. Спасибо!
Лог надо было во вложения, вот сообщение и повисло на модерации.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
WBR,
Vadim
Просканил и удалил
Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).
Выполните рекомендации после лечения.
Уважаемый(ая) iH4lfyR3kt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
