Скомпрометированный Yandexbrowser

[Руслан Исхаков]

 На протяжении около месяца слушал как мой компьютер издает адский шум, списывал все на пыль и обещал себе убраться) Спустя месяц наконец почистил его, шум не пропал. Решил проверить на вирусы, для начала проверил через Drwebcureit он ничего не нашел. Далее скачал Kasperskyfreeantivirus провел полную проверку, он тоже ничего не нашел, но спустя день использования заметил, что Kaspersky блокирует веб адрес s3.amazonaws.com, который запускал Yandexbrowser . Решил покопаться на форумах, порекомендовали проверить через adwcleaner он нашел пару файлов в реестре,связанные с Яндексбраузером, которые я в дальнейшем удалил(После многочисленных удалений, эти файлы пропали, но периодически, после перезагрузки, он находит какие-то файлы, ниже скрин) . После этого удалил браузер через Revouninstaller, перезагрузил систему, все показатели быстродействия были в порядке. Решил снова скачать Yandexbrowser с официального сайта, и опять... Компьютер издает странные звуки, цп загружено на 40-80%(Время от времени спадает, озу 3-7гб от 8 максимальных), при этом запущен был только браузер. В это время Kaspersky снова блокировал s3.amazonaws.com. Система нагружается даже тогда, когда браузер выключен, в диспетчере он то включатся, то выключается, при этом он жрет много озу.Как его полностью удалить?

 

Примечание:Спустя день удалений и перезагрузок, вирус затих, но убрать браузер из автозагрузки пока не представляется возможным. Уже после всех действий, описанных вверху, adwcleaner 

 все еще находит подозрительный файлы(ниже скрин).

 

Логи прикрепить не смог, не нашел актуальную версию программы, ниже скрин.

[regist]

Порядок оформления запроса о помощи
 

по поводу второго скрина там написано, что нужно сделать.

[Руслан Исхаков]

Видимо я скачивал его, когда его еще не обновили. Хотя странно, что дата последнего обновления у них совпадает

CollectionLog-2018.12.03-20.28.zip

Изменено 3 декабря, 2018 пользователем Руслан Исхаков

[regist]

дата последнего обновления у них совпадает

это дата обновления баз AVZ (с этим уже к Зайцеву Олегу почему он так редко его обновляет). Собственно если бы обновлял он чаще, то этого казуса у вас и не было бы. А дата/версия Автологера там разная, если заглянете в репорты предыдущей и этой версии увидите разницу.

 

1) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre-9.0.4\bin\ssv.dll (file missing)
O4 - MSConfig\startupfolder: C:^Users^Lock^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OrbitumUpdate.lnk [backup] => C:\Users\Lock\AppData\Local\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe (2017/08/07) (file missing)
O4 - MSConfig\startupreg: DSATray [command] = C:\Program Files (x86)\Intel Driver and Support Assistant\DsaTray.exe (HKLM) (2017/11/25) (file missing)
O4 - MSConfig\startupreg: Discord [command] = C:\Users\Lock\AppData\Local\Discord\app-0.0.297\Discord.exe (HKCU) (2017/07/22) (file missing)
O4 - MSConfig\startupreg: Orbitum Update [command] = C:\Users\Lock\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (HKCU) (2017/08/07) (file missing)
O4 - MSConfig\startupreg: SunJavaUpdateSched [command] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (HKLM) (2018/01/20) (file missing)
O4 - MSConfig\startupreg: World of Tanks [command] = C:\Games\World_of_Tanks\WargamingGameUpdater.exe (HKCU) (2017/07/11) (file missing)
O4 - MSConfig\startupreg: winhost [command] = C:\Windows\SysWOW64\4.exe (HKLM) (2017/11/02) (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Se&nd to OneNote: (default) = C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O23 - Service S2: S2Gvc32 - C:\Program Files (x86)\Speech2Go Voice Package\IvonaVoiceService_x86.exe  (file missing)

2) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

3)

Google Update Helper [20180927]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Google Update Helper [20180927]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

советую деинсталировать.

Java 8 Update 131 [20170619]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180131F0}
Java 8 Update 161 (64-bit) [20180211]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180161F0}

устаревшая/уязвимая версиия, тоже деинсталируйте.

 

4) Свежий лог сканирования AdwCleaner-а покажите.

Изменено 3 декабря, 2018 пользователем regist

[Руслан Исхаков]

Все сделал. Только не смог удалить:

 

Google Update Helper [20180927]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Google Update Helper [20180927]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

 

Нужно было через панель управления удалять? Если да, то этих файлов там нет. Также прикрепил скрин карантина Adwcleanera.

ClearLNK-2018.12.04_15.04.23.log

AdwCleanerS16.txt

[regist]

Что сейчас с проблемой? Если осталась, то покажите скрин рассширений яндекс браузера.

[Руслан Исхаков]

Проблема решилась, большое спасибо! Но все таки интересно, как удалить эти файлы:

 

 

Google Update Helper [20180927]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Google Update Helper [20180927]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Изменено 5 декабря, 2018 пользователем Руслан Исхаков

[regist]

 

 

как удалить эти файлы:

это не файлы. а программы. Удалять их надо через панель управления - установка и удаление программ.

Но я так понимаю там вы их не видите?

Можно ещё нажать windows + R -> вставить туда

MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

должна запуститься деинсталяция. Попробуйте так и сообщите результат.

[Руслан Исхаков]

Все удалил. Спасибо большое за помощь!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Руслан Исхаков]

Рекомендации выполню. Спасибо!