Подхватил вирус html:RedirDL-inf [Trj]

[Павел123]

Здравствуйте. Недавно, пытался скачать Photoshop с разных сайтов(попадались  нерабочие версии). После очередной попытки аваст блокировал инфекцию: HTML:RedirDL-inf [Trj] .(ссылка удалена). Процесс: C:\Program Files\Opera\28.0.1750.40.opera.exe. Причём несколько инфекций сразу(6/6). В результате, иногда перемещает с одного открытого сайта на какой-то другой, качает само и устанавливает расширения в оперу, удаляет список загрузок. Это всё, что пока заметил. Информация о блокированной инфекции всплывает каждый раз при открытии opera, правда, бывало и при открытии internet explorer и даже просто при включении компьютера.
  Программа Hitmanpro при каждой проверке находит кучу заразы.
  Пытался найти такую же проблему в интернете, но там вирус похожий по названию, но не такой же.
  Буду очень признателен за помощь.

Сообщение от модератора Mark D. Pearlstone

Ссылка удалена.

CollectionLog-2015.03.15-19.49.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Adblock Plus for IE\AdblockPlus32.dll','');
DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
QuarantineFile('C:\Program Files\VK Downloader\2nkCBge5Ni.dll','');
DeleteFile('C:\Program Files\VK Downloader\2nkCBge5Ni.dll','32');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Павел123]

Ответ из лаборатории:

 

"Этот файл повреждён."

KLAN-2595825513.

Отчёт FRST прикрепил.

FRST.txt

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
   

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01
  Toolbar: HKU\S-1-5-21-1089594857-1090954954-1995674204-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  OPR Extension: (VKontakte.ru Downloader) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhicdenadipegbnnjbaojhjddgdmdhpd [2014-05-14]
  OPR Extension: (Загрузчик VK) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-03-11]
  2015-03-15 19:11 - 2015-03-15 19:11 - 00000000 __SHD () C:\Users\Coca\AppData\Local\EmieUserList
  2015-03-15 19:11 - 2015-03-15 19:11 - 00000000 __SHD () C:\Users\Coca\AppData\Local\EmieSiteList
  2015-03-15 19:11 - 2015-03-15 19:11 - 00000000 __SHD () C:\Users\Coca\AppData\Local\EmieBrowserModeList
  2015-03-14 11:56 - 2015-03-16 14:07 - 00000312 _____ () C:\Windows\Tasks\Update Service for VK Downloader.job
  2015-03-13 13:40 - 2015-03-14 22:36 - 00000312 _____ () C:\Windows\Tasks\Update Service for VK Downloader2.job
  2015-03-11 14:12 - 2015-03-11 14:12 - 00000626 __RSH () C:\Users\Все пользователи\ntuser.pol
  2015-03-11 14:12 - 2015-03-11 14:12 - 00000626 __RSH () C:\ProgramData\ntuser.pol
  2013-09-22 16:19 - 2013-09-22 16:19 - 0005033 _____ () C:\ProgramData\mtbjfghn.xbe
  Reboot:
  

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[Павел123]

Fixlog.

Fixlog.txt

[thyrex]

Что с проблемой?

[Павел123]

Захожу с opera- аваст молчит. Похоже, всё в порядке. Спасибо большое=).

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему https://forum.kasperskyclub.ru/index.php?showtopic=45734