Письмо от "службы приставов" - подозрение на вирус

[Maroussia]

На почту пришло письмо якобы от службы приставов (имитация официального письма один в один, обращение по имени-отчеству) - короче, кликнула на вложенный архив, увы. Пока ничего интересного не произошло, но беспокоит меня это дело, неприятно знать, что в твоем компе копается кто-то кроме тебя(( 

Касперский ничего не нашел, CureIt нашел чего-то и полечил:

 

Архив с логами прилагаю и очень прошу помощи и совета - как жить дальше, и как узнать, не происходят ли с компом еще какие процессы нехорошие.

 

 

upd: загрузила подозрительный файл в VirusDesk, получила такой ответ:

 

Результат проверки файл заражен Найденные угрозы Trojan-Ransom.Win32.Shade.ovz Размер файла 1,16 МБ Тип файла ARC/7Z Дата проверки 2018 окт 01 22:52:33 Дата выпуска баз 2018 окт 01 19:34:41 UTC MD5 3f341f7607c9bdcbbdf8269cee937989 SHA1 d7b789ea5d68f0f77c22fe90cda3c1a79b00ce01 SHA256 1ef5105e880addff1cfa6c9081006313811b0b4630cc08eb62453d79bcfb69e0

CollectionLog-2018.10.01-23.22.zip

Изменено 1 октября, 2018 пользователем Maroussia

[regist]

доверие к антивирусу Касперского как-то вот уменьшилось

оно и до этого у вас должно было быть не самым большим с учётом, что ваша версия устарела.

 

1)

 

Google Update Helper [20180521]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Java 7 Update 17 [20130406]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 22 [20111020]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022F0}
Java(TM) 6 Update 29 [20111018]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF}
Kaspersky Anti-Virus [2014/11/19 22:00:47]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E} REMOVE=ALL
Kaspersky Anti-Virus [20151009]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E}

деинсталируйте эти программы.

Вместо KAV 15 поставьте актуальную версию (советую KAV 19). На всякий случай убедитесь перед удалением, что у вас ключ от него (хотя если сознательно не поставите галочку удалить информацию об лицензии, то после удаления она должна остаться и подхватится новой версией).

 

+ Почистим немного мусор.

2) "Пофиксите" в HijackThis:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)

 

Если QIP в настройках IE прописался без вашего согласия, то при фиксе также поставьте галочки на строчки

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://search.qip.ru/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://search.qip.ru/ie
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: [URL] = http://search.qip.ru/?query={searchTerms} - QIP Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: [URL] = http://search.qip.ru/search?query={searchTerms}&from=IE - QIP Search

3) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

4)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

5) Активного заражения у вас не видно - другими словами: Чисто.

[Maroussia]

@regist, 

ай, не успела добавить важное, вы быстрее ответили! VirusDesk мне сказал "Найденные угрозы Trojan-Ransom.Win32.Shade.ovz " - с учетом этого рекоммендации те же?

[Sandor]

Да, те же, выполняйте.

[Maroussia]

Выполнила: 

ссылка по пункту 4 
https://virusinfo.info/virusdetector/report.php?md5=5C800C2F57CD6BE86AEF601E8FBB6814

 

Лог по пункту 3 приложила

ClearLNK-2018.10.02_02.52.59.log

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Maroussia]

Да, уязвимости нашлись, загрузила и установила все, что посоветовали.

Спасибо!