Самопроизвольная установка программ

[rowman]

Здравствуйте!
На компьютере периодически происходит установка программ без участия пользователя. Сначала устанавливается Mediaget, потом скачивается и устанавливается пакет DaemonTools, Yandex browser, Avast и др. Ну и потом игра Hitman. В запланированных задачах не нашёл ничего такого, наверное плохо искал. Прошу помощи!

[Info_bot]

Уважаемый(ая) rowman, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Пофиксите в HiJackThis из папки Autologger

Код:

O26 - UWP Debugger: AcroRd32.exe (default) = (no file)
O26 - UWP Debugger: AcroRd32Info.exe (default) = (no file)
O26 - UWP Debugger: ExtExport.exe (default) = (no file)
O26 - UWP Debugger: FlashPlayerApp.exe (default) = (no file)
O26 - UWP Debugger: FlashPlayerPlugin_31_0_0_122.exe (default) = (no file)
O26 - UWP Debugger: FlashPlayerUpdateService.exe (default) = (no file)
O26 - UWP Debugger: FlashUtil32_31_0_0_122_Plugin.exe (default) = (no file)
O26 - UWP Debugger: FlashUtil32_31_0_0_122_pepper.exe (default) = (no file)
O26 - UWP Debugger: FlashUtil64_31_0_0_122_Plugin.exe (default) = (no file)
O26 - UWP Debugger: FlashUtil64_31_0_0_122_pepper.exe (default) = (no file)
O26 - UWP Debugger: GoogleUpdate.exe (default) = (no file)
O26 - UWP Debugger: MRT.exe (default) = (no file)
O26 - UWP Debugger: MsMpEng.exe (default) = (no file)
O26 - UWP Debugger: PresentationHost.exe (default) = (no file)
O26 - UWP Debugger: PrintDialog.exe (default) = (no file)
O26 - UWP Debugger: PrintIsolationHost.exe (default) = (no file)
O26 - UWP Debugger: RdrCEF.exe (default) = (no file)
O26 - UWP Debugger: RdrServicesUpdater.exe (default) = (no file)
O26 - UWP Debugger: SystemSettings.exe (default) = (no file)
O26 - UWP Debugger: Winword.exe (default) = (no file)
O26 - UWP Debugger: clview.exe (default) = (no file)
O26 - UWP Debugger: cnfnot32.exe (default) = (no file)
O26 - UWP Debugger: dw20.exe (default) = (no file)
O26 - UWP Debugger: dwtrig20.exe (default) = (no file)
O26 - UWP Debugger: excel.exe (default) = (no file)
O26 - UWP Debugger: excelcnv.exe (default) = (no file)
O26 - UWP Debugger: graph.exe (default) = (no file)
O26 - UWP Debugger: groove.exe (default) = (no file)
O26 - UWP Debugger: ie4uinit.exe (default) = (no file)
O26 - UWP Debugger: ieUnatt.exe (default) = (no file)
O26 - UWP Debugger: ieinstal.exe (default) = (no file)
O26 - UWP Debugger: ielowutil.exe (default) = (no file)
O26 - UWP Debugger: iexplore.exe (default) = (no file)
O26 - UWP Debugger: infopath.exe (default) = (no file)
O26 - UWP Debugger: msaccess.exe (default) = (no file)
O26 - UWP Debugger: mscorsvw.exe (default) = (no file)
O26 - UWP Debugger: msfeedssync.exe (default) = (no file)
O26 - UWP Debugger: mshta.exe (default) = (no file)
O26 - UWP Debugger: msohtmed.exe (default) = (no file)
O26 - UWP Debugger: msosync.exe (default) = (no file)
O26 - UWP Debugger: msoxmled.exe (default) = (no file)
O26 - UWP Debugger: mspub.exe (default) = (no file)
O26 - UWP Debugger: msqry32.exe (default) = (no file)
O26 - UWP Debugger: mstordb.exe (default) = (no file)
O26 - UWP Debugger: mstore.exe (default) = (no file)
O26 - UWP Debugger: ngen.exe (default) = (no file)
O26 - UWP Debugger: ngentask.exe (default) = (no file)
O26 - UWP Debugger: ois.exe (default) = (no file)
O26 - UWP Debugger: onelev.exe (default) = (no file)
O26 - UWP Debugger: onenote.exe (default) = (no file)
O26 - UWP Debugger: onenotem.exe (default) = (no file)
O26 - UWP Debugger: orgchart.exe (default) = (no file)
O26 - UWP Debugger: ose.exe (default) = (no file)
O26 - UWP Debugger: outlook.exe (default) = (no file)
O26 - UWP Debugger: powerpnt.exe (default) = (no file)
O26 - UWP Debugger: runtimebroker.exe (default) = (no file)
O26 - UWP Debugger: scanost.exe (default) = (no file)
O26 - UWP Debugger: scanpst.exe (default) = (no file)
O26 - UWP Debugger: selfcert.exe (default) = (no file)
O26 - UWP Debugger: setlang.exe (default) = (no file)
O26 - UWP Debugger: splwow64.exe (default) = (no file)
O26 - UWP Debugger: spoolsv.exe (default) = (no file)
O26 - UWP Debugger: svchost.exe (default) = (no file)
O26 - UWP Debugger: vpreview.exe (default) = (no file)
O26 - UWP Debugger: wordconv .exe (default) = (no file)
O26 - UWP Debugger: wxp.exe (default) = (no file)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[rowman]

Готово

[SQ]

Здравствуйте,

Уточните пожалуйста, у Вас что используется роутер Mikrotik?

Если не пользуетесь более антивирусом Avast то удалите его остатки в системе.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

[rowman]

Да, роутер - Mikrotik. Авастом и не пользовался, он установился сам вместе с остальными программами из пакета. Утилиту по его окончательному удалению смогу запустить только завтра, так как она требует безопасного режима, а я через RDP подключился.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Касаемо роутера Mikrotik ознакомьтесь пожалуйста со статьей, возможно ваш роутер взломан.

[rowman]

Удалил. Спасибо за наводку на статью! Буду проверять.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[rowman]

Сделано!

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  Folder: C:\Program Files\MySQL\MySQL Server 5.5\bin
  Folder: C:\Program Files\MySQL\MySQL Server 5.5\lib
  File: C:\Windows\SysWOW64\nhsrvice.exe
  File: C:\Program Files\RDP Wrapper\rdpwrap.dll
  U3 aswbdisk; no ImagePath
  File: C:\WINDOWS\system32\mssprxy.dll
  2018-11-13 23:54 - 2018-11-13 23:54 - 000182568 _____ () C:\Users\User\AppData\Local\Temp\mediaget-uninstaller.exe
  2018-11-13 23:53 - 2018-10-26 11:41 - 000339976 _____ () C:\Users\User\AppData\Local\Temp\YandexWorking.exe
  2018-11-13 21:10 - 2018-08-23 11:57 - 000297992 _____ () C:\Users\User\AppData\Local\Temp\Yandex__.exe
  2018-11-13 21:11 - 2018-11-13 21:18 - 099396088 _____ (YANDEX LLC) C:\Users\User\AppData\Local\Temp\{095FADDA-96F8-4734-951C-7E2F85DD702B}.exe
  2018-11-13 21:10 - 2018-11-13 21:17 - 099396088 _____ (YANDEX LLC) C:\Users\User\AppData\Local\Temp\{390DE5D9-F5E0-4221-9ED3-62B13CE41F56}.exe
  2018-10-15 15:05 - 2018-10-15 15:05 - 099396088 _____ (YANDEX LLC) C:\Users\User\AppData\Local\Temp\{4ABA6B77-9A05-4B8D-B252-0598015D7ED7}.exe
  CustomCLSID: HKU\S-1-5-21-2227689304-1885440843-3317346682-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\18.192.0920.0015\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2227689304-1885440843-3317346682-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\18.192.0920.0015\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2227689304-1885440843-3317346682-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\18.192.0920.0015\amd64\FileSyncShell64.dll => No File
  Task: {F479051F-1CE3-40D2-8814-800876FCF3F8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [200]
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[rowman]

Вот

[SQ]

Сообщите пожалуйста, если проблема как-то проявляется? И нашли ли что-нибудь вредоносное в настройках вашего роутера?

[rowman]

На данный момент всё тихо. Хотя, периодичность возникновения проблемы не до конца понятна (проявлялась два раза через несколько дней). По итогам, были взломаны почтовый ящик (пароль был сохранён в Thunderbird и, возможно, в браузере) и mikrotik rb-941-2nd-tc hAP lite, который используется как точка доступа wifi внутри сети (пароль был сохранён в winbox). Контроль над ними восстановлен.
Основной роутер чувствует себя нормально, чужеродных настроек не нашёл (правила файрвола были настроены). На всякий случай обновил прошивку и сменил пользователя.

[SQ]

По итогам, были взломаны почтовый ящик (пароль был сохранён в Thunderbird и, возможно, в браузере)

Попробуйте написать в тех.поддержку почтовой службы, чтобы они вам помогли с восстановление доступа.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[rowman]

Попробуйте написать в тех.поддержку почтовой службы, чтобы они вам помогли с восстановление доступа.

Я же написал в прошлом сообщении, что доступ уже восстановлен.
Пароли были дискредитированы ещё до последнего запуска FRST, как я понимаю.
Образ автозапуска прилагаю.

[SQ]

Уточните пожалуйста, проблема еще как-то себя проявляет?

[rowman]

На данный момент - нет.

[SQ]

В последних логах ничего плохого обнаружено не было. Если проблема вернется напишите об этом пожалуйста тут.

[rowman]

Хорошо. Большое спасибо за помощь!