Скачиваемые файлы подменяются архивом

[devfin19 0]

Добрый вечер. Собственно, младший брат подхватил вирус. Все вылечил, но остался досадный косяк. Многие файлы нельзя скачать. Они подменяются arhive****.zip цифры могут быть рандомные иногда буквы. Размер всегда 1,5 Мб. От браузера это не зависит, во всех браузерах тоже самое. Иногда что-то скачать можно.

 

Логи: тык

Изменено 28 ноября, 2017 пользователем devfin19

[regist 618]

@devfin19, логи прикрепите к посту.

[devfin19 0]

@devfin19, логи прикрепите к посту.

Прикрепил. Через гугл диск

[Mark D. Pearlstone 1 709]

@devfin19, вас просят загружать логи на форум. Если потребуется что-то загрузить на сторонний ресурс, то вам об этом напишут.

[devfin19 0]

@devfin19, вас просят загружать логи на форум.

ща, попробую. не понял как, сорян

Нашел. сори CollectionLog-2017.11.28-20.20.zip

[regist 618]

Здравствуйте!
1)
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantine;
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Dev\Downloads\не удалять ДИМА\Киев 2014\World of Warplanes.lnk', '');
 QuarantineFile('C:\Users\Dev\Favorites\Links\Интернет.url', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

3)
 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) "Пофиксите" в HijackThis:

O17 - HKLM\System\CSS\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 192.168.0.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 192.168.0.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ddc64e03-c07b-44d8-b8f3-83aa0ca7fa62}: NameServer = 82.202.226.203
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 -  - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 -  - (no file)
O21 - ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 -  - (no file)

5) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

7) Вижу хвосты от MBAM он установлен или это хвосты от уже удалённого? Если стоит, то лог полного сканирования тоже прикрепите.

 

8) Обычно всегда оставляю выбор антивируса на усмотрения пользователя, но

 

Panda Protection [2017/11/24 15:34:22]-->"C:\Program Files (x86)\Panda Security\Panda Security Protection\Setup.exe" /X{52F9D0C3-E6CF-4553-9013-8F2E834BD0B1}
Panda Protection [20171016]-->MsiExec.exe /X{52F9D0C3-E6CF-4553-9013-8F2E834BD0B1}
Panda Safe Web [2017/10/16 19:18:39]-->C:\Program Files (x86)\pandasecuritytb\uninstall.exe

советую задуматься о смене этого, на что-то более существенное. Т.к. от того что это стоит толку в плане защиты почти нет, а вот лишние приторможивания и конфликты могут быть.

Изменено 28 ноября, 2017 пользователем regist

[devfin19 0]

1. ссылка

2. выполнил

3. KLAN-7235811364

:

Благодарим вас за обращение в «Лабораторию Касперского»

. Файлы сканируются в автоматическом режиме.

Информация о указанных файлах не содержится в антивирусных базах данных:
World of Warplanes.lnk
Интернет.url

Мы тщательно проанализируем отправленные вами файлы. Если результат анализа отличается от результата автоматического сканирования, вы будете уведомлены по электронной почте.

 

4. пофиксил

5. ClearLNK-28.11.2017_21-17.log

6. CollectionLog-2017.11.28-21.20.zip

7. удален. проверял и ним на всякий случай

8. Что рекомендуете из существенного?

 

P.S. вроде все указал

Благодарю за помощь. Все вроде скачивается. За 8 пункт буду дополнительно благодарен.

Лайк посту нажал, если еще можно как-то поблагодарить на форуме подскажите, поблагодарю.

[regist 618]

1) Остатки MBAM удалите этой утилитой https://safezone.cc:443/resources/mbam-cleaner.79/

2) Что с проблемой?

3)

 

 

Что рекомендуете из существенного?

как уже писал предпочитаю оставлять выбор антивируса пользователю. Слишком уж интимное это дело. Так что воздержусь от советов конкретного антивируса. В данном случае просто уж совсем аутсайдер был.

[devfin19 0]

Проблема решилась. Еще раз благодарю

[regist 618]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[devfin19 0]

уязвимости не обнаружены.