При скачивании файла вирус подменяет их архивом

[maxtor001]

При скачивании файла из любого браузера (IE, Chrome, Firefox), вирус подменяет из архивом,например Договор-12-b32e.zip Внутри исполняемый файл, видимо сам вирус.  Лог-файл прилагаю. Заранее спасибо

CollectionLog-2017.11.12-14.57.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\icacl.exe','');
 DeleteService('icacl');
 DeleteFile('C:\Windows\system32\icacl.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\yc\Application\yc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_27F468DFA26D7B88CDDDDC436AD53CBC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[maxtor001]

Сделал всё как высказали, проблема вроде ушла, изо всех браузеров загружается именно то, что надо. Огромное спасибо!

CollectionLog-2017.11.12-15.29.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[maxtor001]

Ответ, пришедший от newvirus@kaspersky.com:

Re: [KLAN-7128914205]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

_____________________________________________________________________________________________________________________

Логи от FRST во вложении

 

FRSTSCAN.ZIP

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
C:\Users\Пользователь\AppData\Local\yc
Task: {9AF4F544-476B-45E1-8E20-C3C4EC19CA50} - System32\Tasks\monotype => C:\Users\Пользователь\AppData\Local\monotype\monotype.exe <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[maxtor001]

Высылаю файл Fixlog.txt

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[maxtor001]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 12.11.2017 18:44:45

Path starting: C:\Users\Пользователь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Пользователь

VersionXML: 4.73s-27.10.2017

___________________________________________________________________________

 

Windows 10(6.3.15063) (x64) Professional Версия: 1703 Lang: Russian(0419)

Дата установки ОС: 21.08.2017 22:08:13

Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно.

Статус лицензии: Office 16, Office16ProPlusR_Grace edition Windows находится в режиме уведомления

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 244197 мин.

Режим загрузки: Normal

Браузер по умолчанию: Microsoft Edge (C:\Windows\system32\LaunchWinApp.exe)

Системный диск: C: ФС: [NTFS] Емкость: [199.4 Гб] Занято: [59.3 Гб] Свободно: [140.1 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.674.15063.0

Контроль учётных записей пользователя включен (Уровень 3)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x86 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (выключен и обновлен)

Malwarebytes (включен и обновлен)

Kaspersky Endpoint Security 10 для Windows (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Endpoint Security 10 для Windows (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Endpoint Security 10 для Windows (включен и обновлен)

Malwarebytes (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Security Scan v.16.0.0.1344

Kaspersky Software Updater v.2.0.0.623

Kaspersky Endpoint Security 10 для Windows v.10.2.5.3201

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.3.1.2183 v.3.3.1.2183

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.04 (x64) v.16.04

WinRAR 5.50 (64-разрядная) v.5.50.0

Microsoft Silverlight v.5.1.50907.0

TeamViewer 12.0.72365 v.12.0.72365 Внимание! Скачать обновления

TeamViewer 12 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.31 v.7.31.104 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^

Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player ActiveX & Plugin 64-bit v.24.0.0.194 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Adobe Shockwave Player + Authorware Web Player v.v12.2.5.195 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.

Adobe Reader XI (11.0.19) - Russian v.11.0.19 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 56.0.2 (x64 ru) v.56.0.2

Opera Stable 48.0.2685.52 v.48.0.2685.52

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 52.4.0 (x86 ru) v.52.4.0

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Internet Explorer\iexplore.exe v.11.0.15063.608

C:\Program Files (x86)\Internet Explorer\iexplore.exe v.11.0.15063.608

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Endpoint Security Service (AVP) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP1\avp.exe v.10.2.5.3201

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.0.0.1247

Malwarebytes Service (MBAMService) - Служба работает

C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.595

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Установите рекомендованные обновления и на этом закончим