Неведомая ересь создаёт хаотичные редиректы в браузере

[TheRambotnik]

Доброго времени суток, уважаемые Магистры ордена Борьбы с вредоносами!

 

Суть ситуации в следующем: некоторое время назад, при открытии страниц в браузерах (любых) начал происходить редирект на невнятные страницы:

1- lending.gobblessoftware.info - спамит уведомлениями о "страшных вирусах", заразивших некое "Android-устройство" (дело происходит на ПК под Win10);

2- Невнятный prpops.com/рандомный набор символов/ - выдаёт выхлоп в виде не менее невнятного набора символов, вроде "/х3/х64/х325/...".

 

Поиск виновника включал:

1- Сканирование системы штатным антивирусом Eset. Молчит.

2- Сканирование системы KVRT и CureIT!. Ничего подозрительного.

3- Сканирование системы AdwCleanerom от Malwarebytes. Нашёл некий "h@tkeysh@@k.dll". Удалил. Опять же, толку ноль. Ладно, отправил файл в ЛК на исследование, специалистам-таки виднее.

4- Сбрасывал браузеры на дефолт, проверял - не установлен ли на комп "левый" софт, дома как-никак, не я один пользуюсь этим ПК. Не помогло.

 

Прикладываю логи автологгера и FRST.

 

Заранее благодарю за помощь!

CollectionLog-2018.02.08-09.59.zip

FRST.rar

[Sandor]

Здравствуйте!

 

Файл D:\shutdown.bat - Вам известен?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[TheRambotnik]

Здравствуйте!

 

Файл D:\shutdown.bat - Вам известен?

 

Да, это мой старый батник для выключения компьютера по расписанию. Там из всего синтаксиса только "shutdown /r /t 10".

 

Выполнил скрипт, перезагрузился, выгрузил антивирус и иже с ним, прикрепляю свежий CollectionLog.

 

upd.: Только что заглянул в свежий лог AL, вижу там строку:

"R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 123.154.165.11:8080". Полагаю, такого быть точно не должно?

CollectionLog-2018.02.08-12.25.zip

Изменено 8 февраля, 2018 пользователем TheRambotnik

[Sandor]

"Пофиксите" в HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 123.154.165.11:8080 (disabled)

Что сейчас с проблемой?

[TheRambotnik]

"Пофиксите" в HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 123.154.165.11:8080 (disabled)

Что сейчас с проблемой?

 

 

"Убил" проксю в ИЕ. Проблема осталась.

Решение, как ни странно, нашлось в процессе - после второго просмотра логов, внезапно, обнаружил, что роутер отдаёт странные DNS-сервера вместо провайдерских (неизвестный DNS1 и гугл паблик DNS2). Полез в роутер, обнаружил, что к нему перестал подходить пароль, установленный мною на него давно (сразу оговорюсь, дефолтной пары логин/пароль на роутере не было).

Итого сделано:

0- Просканирована система вдоль и поперёк (KVRT, CureIT!, avz, MBAM, NOD)

1- Удалён драйвер перехватчика нажатия клавиш h@tkeysh@@k.dll

2- Пофикшены подозрительные прокси в конфигах браузера

3- Сброшены кэши Winsock, DNS и TCP/IP в винде

4- Сделан хард ресет роутера, с последущим жёстким заданием статичных DNS провайдера

5- Дефолтная пара логин-пароль на роутере изменены на отличающиеся от тех, что были скомпрометированы.

 

На всякий случай, продолжу вести наблюдение в течении суток, если проблема не повторится (и если повторится) - отпишусь о результатах.

 

Благодарю за помощь!

[TheRambotnik]

Как и обещал, отчёт спустя сутки:

 

1- Пришлось удалить Maxton, ибо он категорически отказывается лечиться. Есть подозрение, что несмотря на то, что им ВООБЩЕ не пользуются, одним из источников мог быть и он.

 

2- В остальном полёт нормальный, трэш и содомия внутри браузеров прекратились.

 

Ещё раз благодарю товарища @Sandor за оказанную помощь!

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[TheRambotnik]

Запустил, проверил, выхлоп прикрепляю

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.64.16299.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.50428.0 Внимание! Скачать обновления

TeamViewer 12.0.81460 v.12.0.81460 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.9.8.42502 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

BitTorrent, версия 7.9.8.42502 v.7.9.8.42502 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java SE Development Kit 8 Update 112 (64-bit) v.8.0.1120.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u162-windows-x64.exe)^

Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u162-windows-x64.exe)^

Java 8 Update 102 v.8.0.1020.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^

Java SE Development Kit 8 Update 112 v.8.0.1120.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u162-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.25.0.0.134 Внимание! Скачать обновления

Adobe Flash Player 22 NPAPI v.22.0.0.209 Внимание! Скачать обновления

Adobe Flash Player 22 PPAPI v.22.0.0.209 Внимание! Скачать обновления

Adobe Shockwave Player + Authorware Web Player v.v12.2.4.194 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.

Adobe Reader XI (11.0.17) - Russian v.11.0.17 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

---------------------------- [ UnwantedApps ] -----------------------------

JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Рекомендации после удаления вредоносного ПО

[TheRambotnik]

Благодарю. Логи читал, все рекомендации выполнить немного проблемно ввиду жёсткой лимитации интернета. Но самые основные дыры в системе залатал, задал периодическую проверку DNS и шлюзов, а также мониторинг проксей и подгружаемых в браузеры плагинов.

 

Все выходные сёрфинг по Сети был "чистым", без "левых" вкладок, редиректов и прочего. Ещё раз благодарю за помощь, вопрос решён.