Перенаправление на сайт s3.amazonaws.com

[VLaD-389]

Добрый день! Прошу помочь избавиться от автоматического перенаправления на сайт s3.amazonaws.com. Касперский (KIS 2018) выдает около 10 сообщение в минуту, что заблокирован веб-адрес s3.amazonaws.com.  Полная проверка на вирусы ничего не выявило. Пробовал проверить и очистить от лишних записей hosts  файл, но после перезагрузки WIN 10 х64, там снова появляются лишние записи.

После чего это появилось, к сожалению, не могу сказать, т.к. не один пользователь.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[VLaD-389]

Что-то инструкция плохо написано - оказывается нужно обязательно нажать кнопку "Загрузить". Я думал, что достаточно прикрепить файл, а он сам загрузится. Не угадал.

Благодарю, исправился!

CollectionLog-2018.03.11-09.40.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger

 

O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[VLaD-389]

Выполнил по инструкции. Фалы приложил.

Desktop_20180311_105207.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3167513614-1896274917-3345133206-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-3167513614-1896274917-3345133206-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-3167513614-1896274917-3345133206-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File
Task: {67EE9868-1239-4CA0-890F-1B31176E4F4A} - \KMSAuto -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

+ Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.

[VLaD-389]

Профиксил, расширения в Хроме отключил проблема сохранилась.

Вот что KIS 2018 пишет:

11.03.2018 11.18.43;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://s3.amazonaws.com/js-cache/188f9ebcdf6890da18.js;https://s3.amazonaws.com/js-cache/188f9ebcdf6890da18.js;Веб-адрес;GoogleChrome;03/11/2018 11:18:43

Приметил - эта гадость появляется когда заходишь на сайт Ок.ru и запускаешь онлан игру (или как там флеш-игра)

После проделанной работы hosts  файл стал чистым   

Fixlog.txt

[thyrex]

После проделанной работы hosts  файл стал чистым

Ну его ни одним скриптом не трогали.

 

Приметил - эта гадость появляется когда заходишь на сайт Ок.ru и запускаешь онлан игру

Проблема только в Хроме или в Firefox тоже?

[VLaD-389]

Проблема в обоих браузерах
 
Может я неправильно ставлю проблему? Хотелось бы понять сообщение от KIS 2018 о блокировке сайтов - это нормально. Может при серфинге на это не обращать внимание?
 
 
Изображение:

Раньше такого не было 

Перезагрузил, все равно пачками выпадает сообщение 
 
11.03.2018 13.54.12;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://s3.amazonaws.com/js-cache/188f9ebcdf6890da18.js;https://s3.amazonaws.com/js-cache/188f9ebcdf6890da18.js;Веб-адрес;GoogleChrome;03/11/2018 13:54:12

[thyrex]

Если проблема только с ok.ru, то наверняка что-то на самом сайте может быть.

 

Сделайте лог МВАМ

[VLaD-389]

Сделал сканирование. Похоже проблемы от другой учетной записи. Видно какие-то следы от Амиго 

Proverka_20180311.txt

[thyrex]

Синхронизацию Хрома с учеткой в интернете отключите и удалите в МВАМ найденные записи. Хотя можно удалить найденные файлы и вручную.

[VLaD-389]

Программа смогла удалить только 2 файла из 4. Остальные пришлось удалить вручную.

Но после перезагрузки МВАМ стабильно находит

PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data

 

Проблема сохранилась

[thyrex]

Сделайте лог AdwCleaner

[VLaD-389]

Лог от AdwCleaner

 

AdwCleanerS0.txt