самопроизвольное периодическое открытие браузера с рекламой

[catbua]

С периодичностью 23 минуты открывается IE8 с рекламой электронного казино. Произведено лечение антивирусными сканерами Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt.

Для поиска вредоносного ПО использовались spyhunter_4_14_5_4268 и adwcleaner_6.041, а также AVZ. Удивительный для меня факт: реклама запускается в расчётное время даже в процессе сканирования системы spyhunter-ом, в то время как запустить диспетчер задач или редактор реестра spyhanter не позволяет. Заражение видимо произошло вместе с установкой набора "амиго, ОК, VK, поиск mail.ru и т.п.". Весь этот мусор был удалён при помощи Revo Uninstaller. Поиск вирусов при помощи загрузочного диска kaspersky желаемого результата тоже не дал. ОС - Win 7 максимальная 64. Антивирус Касперского 6.0.4.

CollectionLog-2017.01.07-17.24.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('schtasks.exe', '/delete /TN "mans-find" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Антивирус Касперского 6.0.4

Безнадежно устаревшая и не поддерживаемая версия.

[catbua]

Здравствуйте sandor!
Благодарю вас за участие! Не могли бы Вы указать буквально адрес по которому прописалась эта программа, очень интересно посмотреть её файловый вид. Подозреваю, что она поселилась в пользовательских папках закрытых системой, скорее всего в директории Documents and Settings?

[Sandor]

Вы скрипт выполнили? Где повторный отчет?

[catbua]

Вы скрипт выполнили? Где повторный отчет?

CollectionLog-2017.01.09-16.07.zip

[Sandor]

Подозреваю, что она поселилась в пользовательских папках закрытых системой

Это было вредоносное назначенное задание.

 

O22 - ScheduledTask: (Ready) mans-find - {root} - "C:\Program Files\Internet Explorer\iexplore.exe" http://mans-find.org/glamesm

 

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Изменено 9 января, 2017 пользователем Sandor

[catbua]

 

Подозреваю, что она поселилась в пользовательских папках закрытых системой

Это было вредоносное назначенное задание.

 

O22 - ScheduledTask: (Ready) mans-find - {root} - "C:\Program Files\Internet Explorer\iexplore.exe" http://mans-find.org/glamesm

 

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 10.0.9200.16618 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

Запрос на повышение прав для обычных пользователей отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба остановлена

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

7-Zip 9.38 (x64 edition) v.9.38.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

SpyHunter v.4.14.5.4268 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1611 - версия устарела и больше не поддерживается. Обновите до KES10.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[catbua]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 10.0.9200.16618 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

Запрос на повышение прав для обычных пользователей отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба остановлена

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

7-Zip 9.38 (x64 edition) v.9.38.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

SpyHunter v.4.14.5.4268 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1611 - версия устарела и больше не поддерживается. Обновите до KES10.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Огромное спасибо за помощь!

Заражение произошло в результате запуска файла с именем: asia rocsta vnedorognik otkrytyj repair manual pdf, на сайте источнике: https://alnw.ru/manuals_2348.html, содержалось пояснение: "Файлы большого размера (прошивки, драйверы, мануалы, медиаконтент) могут загружаться при помощи специального загрузчика, который Вы скачиваете и запускаете на Вашем компьютере. Это сделано для возможности докачки файлов при разрыве интернет соединения."

[Sandor]

при помощи специального загрузчика

Делайте выводы

 

Удачи!