Вирус заменяющий скачиваемый файл на arhive-af-8f3.zip

[Art1xFox]

Не знаю как и где подхватил вирус который заменяет скачиваемые файлы а особенно выйлы архивов на arhive-af-8f3.zip.

Искал решение проблемы в интернете но нигде не нашел кроме этого сайта а конкретно в этой теме https://forum.kasperskyclub.ru/index.php?showtopic=57485  но там написано что у меня может быть совершенно другая проблема поэтому и создал новую тему. Помогите очень прошу.

Ссылка на лог файлов с AutoLogger http://rgho.st/79tw4gmhQ

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\optsatadc.dll','');
 QuarantineFile('C:\Windows\system32\bstreamsvc.dll','');
 QuarantineFile('C:\Users\Kostya\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('C:\Users\Kostya\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Kostya\AppData\Local\wupdate\wupdate.exe','');
 SetServiceStart('SvcHost Service Host', 4);
 DeleteService('SvcHost Service Host');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Users\Kostya\AppData\Local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curl','64');
 DeleteFile('C:\Windows\Tasks\wupdate.job','32');
 DeleteFile('C:\Users\Kostya\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Users\Kostya\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curls','64');
 DeleteFile('C:\Windows\system32\Tasks\Phoenix Browser Updater','64');
 DeleteFile('C:\Windows\system32\Tasks\wupdate','64');
 DeleteFile('C:\Windows\system32\bstreamsvc.dll','32');
 DeleteFile('C:\Windows\system32\optsatadc.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJackThis из папки Autologger

 

O17 - HKLM\System\CSS\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ec558491-e06a-4946-b8c7-e92c8b01eeda}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Art1xFox]

[KLAN-7082201716]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
bstreamsvc.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

 

 

 

 

CollectionLog-2017.11.03-00.05.zipПолучение информации...

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Art1xFox]

Что это дает ?

Frst.zipПолучение информации...

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=mp3","hxxp://www.istartpageing.com/?type=hp&ts=1453578380&z=16e3cc92d2669f6320b88f4gdz7w2c3w6meb5cazdz&from=cub&uid=ST1000DM003-1CH162_Z1D96W8AXXXXZ1D96W8A","hxxp://mail.ru/cnt/10445?gp="
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Users\Kostya\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-07-26]
S2 BitStreamSvc; C:\Windows\System32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 clr_optimization_v1.03; C:\Users\Kostya\AppData\Roaming\System\svchost.exe [369152 2017-05-22] ( ) [File not signed]
C:\Users\Kostya\AppData\Roaming\System\svchost.exe
Task: {3BC82D08-AE95-4CE0-AE20-2E7BD191E6B2} - \curls -> No File <==== ATTENTION
Task: {3DD39666-1B2D-4D8B-A7B3-75DF3544D46A} - \curl -> No File <==== ATTENTION
Task: {06DB3436-4D5F-403F-9FAA-4DA0FAEE5592} - \Phoenix Browser Updater -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Art1xFox]

Вот

Fixlog.txtПолучение информации...

[thyrex]

Проблема решена?

[Art1xFox]

Да спасибо!

Могу ли я удалять все файлы которые создавались при этих манипуляциях? 

Изменено 3 ноября, 2017 пользователем Art1xFox

[thyrex]

Можете.

 

+ Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Art1xFox]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 04.11.2017 00:36:41

Path starting: C:\Users\Kostya\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Kostya

VersionXML: 4.73is-27.10.2017

___________________________________________________________________________

 

Windows 10(6.3.15063) (x64) Professional Версия: 1703 Lang: Russian(0419)

Дата установки ОС: 05.07.2017 23:19:06

Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 85140 мин.

Статус лицензии: Office 16, Office16VisioProR_Grace edition Windows находится в режиме уведомления

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 178174 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [130.3 Гб] Занято: [110.3 Гб] Свободно: [20 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.674.15063.0

Контроль учётных записей пользователя включен (Уровень 3)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (включен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (включен и обновлен)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.103

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.1.0.1

iTunes v.12.7.0.166

Служба Bonjour (Bonjour Service) - Служба работает

------------------------------- [ Browser ] -------------------------------

Google Chrome v.62.0.3202.75

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.62.0.3202.75

------------------ [ AntivirusFirewallProcessServices ] -------------------

C:\Program Files\Windows Defender\MsMpEng.exe v.4.11.15063.447

C:\Program Files\Windows Defender\NisSrv.exe v.4.11.15063.0

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0

Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Обновите указанные программы и на этом закончим.