Скачиваемый архив rar содержит файл exe

[KleemV]

Вирус подменяет линк на скачиваемый архив (к примеру с гугл.диска). Скаченный архив содержит exe файл.

CollectionLog-2017.12.29-06.59.zip

[thyrex]

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Program Files (x86)\umkISPBbU\RQFpge.dll','32');
 DeleteFile('C:\Program Files (x86)\aohGTEheqdnWC\LzYnuFf.dll','32');
 DeleteFile('C:\Program Files (x86)\RrHYXuUpocPTIXdsppR\sTNwkvZ.dll','32');
 DeleteFile('C:\Windows\Tasks\saKXaLnxQURzlMgex.job','32');
 DeleteFile('C:\Windows\Tasks\plaAVjRQXWCDePSecyr.job','32');
 DeleteFile('C:\Windows\Tasks\BcyoMZkjXMgFaPP.job','32');
 DeleteFile('C:\Windows\system32\Tasks\BcyoMZkjXMgFaPP','64');
 DeleteFile('C:\Windows\system32\Tasks\BcyoMZkjXMgFaPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\plaAVjRQXWCDePSecyr','64');
 DeleteFile('C:\Windows\system32\Tasks\plaAVjRQXWCDePSecyr2','64');
 DeleteFile('C:\Windows\system32\Tasks\pnIxobGIUDXdNt','64');
 DeleteFile('C:\Program Files (x86)\TwPufLOWyrxU2\vRzQOFJpQgheK.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\saKXaLnxQURzlMgex','64');
 DeleteFile('C:\Windows\system32\Tasks\saKXaLnxQURzlMgex2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Профиксите в HiJack из папки Autologger

begin
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 192.168.0.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E8482A13-E284-4E46-9A27-9F9D2354011E}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[KleemV]

Сделано 

CollectionLog-2017.12.29-11.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[KleemV]

есть

отчет.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF HKU\S-1-5-21-2225370097-475427300-2975595791-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Артём\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin HKU\S-1-5-21-2225370097-475427300-2975595791-1000: @acestream.net/acestreamplugin,version=3.1.16.1 -> C:\Users\Артём\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-2225370097-475427300-2975595791-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lfgkmlldjpjacgicdjmmgcboihbghpal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
Task: {036295D7-E36A-4D4C-B283-CBDACCFD26CE} - \AutoKMS -> No File <==== ATTENTION
Task: {40648233-2306-49BF-8970-4F44E2E01441} - \saKXaLnxQURzlMgex2 -> No File <==== ATTENTION
Task: {6538A2B2-C6E0-456C-87F5-136F4A23D9C1} - \plaAVjRQXWCDePSecyr2 -> No File <==== ATTENTION
Task: {747259BB-ADEB-40BC-ADDA-0D90A1C64DBD} - \Baseball Studio Optimizer -> No File <==== ATTENTION
Task: {B56EEE0E-DE4B-4095-BB59-CE5283D6C9F3} - \BcyoMZkjXMgFaPP2 -> No File <==== ATTENTION
Task: {F25F0087-0A7F-419D-A87F-29EC72C55E12} - \pnIxobGIUDXdNt -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [125]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[KleemV]

есть

Fixlog.txt

[thyrex]

Проблема решена?

[KleemV]

Да. Перфекто. Огромное спасибо. 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[KleemV]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 31.12.2017 08:40:42

Path starting: C:\Users\Артём\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Артём

VersionXML: 4.81is-30.12.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 04.06.2017 08:26:34

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [150.9 Гб] Занято: [126 Гб] Свободно: [24.9 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18860

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Загружать автоматически обновления и устанавливать по заданному расписанию

Дата установки обновлений: 2017-12-28 22:30:52

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x64 v.14.0.7015.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Internet Security (выключен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (отключен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (выключен и обновлен)

Windows Defender (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.18.0.0.405

Kaspersky Secure Connection v.18.0.0.405

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 17.01 beta (x64) v.17.01 beta [+]

WinRAR 5.50 (64-bit) v.5.50.0

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

7-Zip 16.04 v.16.04

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 28 PPAPI v.28.0.0.126

------------------------------- [ Browser ] -------------------------------

Google Chrome v.63.0.3239.108

Opera Stable 49.0.2725.64 v.49.0.2725.64

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.63.0.3239.108

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\avp.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\avpui.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

Защитник Windows (WinDefend) - Служба работает

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните рекомендации, и на этом закончим