Подмена скачиваемого файла

[Данил0525]

Где подцепил болячку не знаю, но симптомы такие: При попытке перейти по ссылке для скачивания перебрасывает на сторонний сайт, либо сразу скачивается архив с именем совпадающим с нужным файлом, внутри ехе с тем же именем. Наблядается эта проблема во всех установленных браузерах.

CollectionLog-2017.12.02-18.46.zip

Изменено 2 декабря, 2017 пользователем Данил0525

[thyrex]

С MediaGet скорее всего и подцепили. Удалите его через Установку программ.

 

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Данил0525]

Первый пункт выполнил, а второй не понимаю. Нужно просто в HiJack вставить скрипт, который вы написали?

Изменено 2 декабря, 2017 пользователем Данил0525

[thyrex]

https://forum.kasperskyclub.ru/index.php?showtopic=7607

[Данил0525]

Ага сделал.

CollectionLog-2017.12.02-19.36.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Данил0525]

Готово

Desktop.rar

[thyrex]

С MediaGet скорее всего и подцепили. Удалите его через Установку программ.

Это я для себя писал разве? 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-704587592-2829502138-106997172-1001\...\Run: [MediaGet2] => C:\Users\Коркищенко Данил\AppData\Local\MediaGet2\mediaget.exe [14091504 2017-12-02] (MediaGet LLC)
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://ertowap.ru/?utm_source=startpage03&utm_content=117e0d6c7b95dc5e3c4d6ef9a0fa4da4&utm_term=D6D8D8256F637E4466FCDACF475FDC49&utm_d=20171128"
2017-12-02 17:33 - 2017-12-02 17:33 - 000001193 _____ C:\Users\Коркищенко Данил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2017-12-02 17:33 - 2017-12-02 17:33 - 000001185 _____ C:\Users\Коркищенко Данил\Desktop\MediaGet.lnk
2017-12-02 17:31 - 2017-12-02 17:35 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\MediaGet2
2017-12-02 17:31 - 2017-12-02 17:33 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2017-12-02 17:31 - 2017-12-02 17:31 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Media Get LLC
2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignc9c1b53b1c1103e8
2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign3a23fe1ed0f8fd6b
2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign1b971015e2be5567
2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign09c08e669ed68bcc
2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignbc334b4aed140bc2
2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign96d2172b32f01796
2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign78bd387aea5c2bc8
2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign2c10018745b0d093
2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign0830e5a17b4052c6
2017-12-02 15:31 - 2017-12-02 15:31 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign2e55cd784aadf163
2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsigne20cfcbca62bf9f1
2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignbfe45e605549f554
2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign7abade863f3a5241
2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign618e72e5a2df160a
2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignf58f55d7b3bad536
2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign4e9b5785aaec02d5
2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign4863ab67277b6d23
2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign41ec530a8422f599
2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign0670be6809c9dbc3
2017-12-02 15:24 - 2017-12-02 15:24 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign022389ed2f069f9f
2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsigndb730603dd6f5b48
2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignd897cad1a3795c1e
2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignd6e330ea93a1798e
2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign160e1cc82466fbfa
2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign13f6bf73c29d2278
2017-11-30 08:18 - 2017-11-30 14:13 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\yc
2017-11-28 20:45 - 2017-11-28 20:45 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Roaming\curl
2017-11-30 08:18 - 2017-11-30 08:18 - 038316032 _____ (The Chromium Authors) C:\Users\Коркищенко Данил\AppData\Local\Temp\4WBsIFpGtzWy.exe
2017-11-30 14:13 - 2017-11-30 14:13 - 038316032 _____ (The Chromium Authors) C:\Users\Коркищенко Данил\AppData\Local\Temp\6cfRbtMXVY45.exe
2017-11-30 08:23 - 2017-11-30 08:23 - 004011696 _____ () C:\Users\Коркищенко Данил\AppData\Local\Temp\ctB45VcJBxSo.exe
2017-11-30 08:08 - 2017-11-30 08:08 - 000410616 _____ (Mail.Ru) C:\Users\Коркищенко Данил\AppData\Local\Temp\Kss9GBDxemQ7.exe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [128]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [128]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
FirewallRules: [TCP Query User{85D2BF9A-E443-4F3B-AA03-636537AB3E54}C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{FE21FD8C-BACC-4169-B2F6-2EA6670ED50A}C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Данил0525]

Удалил.

Fixlog.txt

[thyrex]

Проблема решена?

[Данил0525]

Да, большое спасибо.

Я могу вам спасибо поставить или плюс реп?

[thyrex]

Я могу вам спасибо поставить или плюс реп?

Как пожелаете. Кнопочки в правой части окна с ответом.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Данил0525]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 02.12.2017 23:21:31

Path starting: C:\Users\Коркищенко Данил\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Коркищенко Данил

VersionXML: 4.76is-18.11.2017

___________________________________________________________________________

 

Windows 10(6.3.15063) (x64) Professional Версия: 1703 Lang: Russian(0419)

Дата установки ОС: 15.07.2017 21:48:46

Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 223892 мин.

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 252642 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [117.5 Гб] Занято: [109.9 Гб] Свободно: [7.6 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.726.15063.0

Контроль учётных записей пользователя включен (Уровень 3)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Восстановление системы отключено

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x86 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (включен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (включен и обновлен)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 27 PPAPI v.27.0.0.187

Adobe Acrobat Reader DC - Russian v.18.009.20050 [+]

------------------------------- [ Browser ] -------------------------------

Yandex v.17.10.0.2017

Google Chrome v.62.0.3202.94

Opera Stable 49.0.2725.47 v.49.0.2725.47 [+]

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.62.0.3202.94

------------------ [ AntivirusFirewallProcessServices ] -------------------

C:\Program Files\Windows Defender\MsMpEng.exe v.4.11.15063.447

C:\Program Files\Windows Defender\NisSrv.exe v.4.11.15063.0

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0

Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает

----------------------------- [ End of Log ] ------------------------------

 

 

Брандмауэр уже включил.

[thyrex]

Обновите указанные программы, и на этом закончим