Частое предупреждение о просроченом сертификате, владелец search.dnsadvantage.com

[Николай Бьёрн]

С неделю назад Total Security начал очень часто (десятки раз в час) выдавать тревожные сообщение о том, что "не может гарантировать подлиность домена", причем по разным ресурсам, в т.ч. Вконаткте, Фейсбук, ГуглКарты и пр., т.к. мол сертификат не актуален.
При ближайшем рассмотрении в каждом (именно в каждом) уведомлении присутствует search.dnsadvantage.com (скриншот)
Полная проверка системы ничего не дала, и Касперский постоянно присылает предупреждения. Проверял также AVZ, Malwarebyte и AdwCCleaner'ом - всё так же.

Перед составлением текущего топика проверку с помощью Kaspersky Virus Removal Tool 2015 выполнил - якобы всё в порядке.
Логи, собранные автоматическим сборщиком - во вложении
 

CollectionLog-2017.12.06-20.59.zip

Изменено 6 декабря, 2017 пользователем Николай Бьёрн

[regist]

1) Вы из Литвы?

 

2) Раз установлен MBAM, то лог полного сканирования сохраните и прикрепите.

 

3) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

4) скачайте отсюда Оперу и проверьте проблему в ней.
 

[Николай Бьёрн]

1. Почти) из Латвии
2. Прикрепил во вложении отчёт Malwarebyte
3. Отчёт AVZ, сделанный по инструкции - вот тут (45 Мб) https://drive.google.com/open?id=18o0wmGpWnsMLFzmtMRvVp_XeUXGCEi6f
4. Оперу по ссылке установил - то же самое, тот же search.dnsadvantage.com

malwarebyte_report_6.12.txt

[regist]

93.115.31.211 - этот IP как понимаю к вашему провайдеру никакого отношения не имеет?

DNS вашего провайдера насколько понимаю этот 195.62.128.130 ?

Если не знаете, то можно уточнить в тех. поддержке у провайдера или поискать в договоре.

PS, MBAM деинсталируйте.

[Николай Бьёрн]

До техподдержки уже не дозвонюсь, а в договоре кстати и нет ничего про DNS. Но да, Вы правы, DNS провайдера 195.62.128.130 (https://www.tcpiputils.com/browse/ip-address/195.62.128.130)- это Baltcom.
А 93.115.31.211 вообще литовский - далеко от нас.

MBAM снёс.

[regist]

- Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
- Очистите кеш и куки браузеров

Проверяйте работу в Интернете

[Николай Бьёрн]

Сделал, пока вроде все отлично!
Спасибо)

[regist]

Для контроля сделайте свежий лог HiJackThis, утилиту не обязательно качать, она уже есть у вас папке ..\AutoLogger\HiJackThis

[Николай Бьёрн]

Сделал, во вложении

HiJackThis.log

[regist]

Порядок, мусор только немного ещё почистим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\StartupApproved\Run32: [zenvpn] (2017/12/06) C:\Program Files (x86)\ZenVPN OpenVPN bundle\bin\zenvpn.exe (file missing)
O21 - ShellIconOverlayIdentifiers: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) (file missing)
O22 - Task: (disabled) Adobe Acrobat Update Task - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (file missing)

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Николай Бьёрн]

В HijackThis нужные строчки пофиксил, скрипт в AVZ выполнил - никаких проблем не обнаружено!
Далее следую рекомендациям по ссылке.
Спасибо большое за помощь!