Подмена при скачивании файлов name_*****.exe

qwertyuio · 27 января

Здравствуйте, поймал шпиона, Avast ругался на appdater.exe и сразу поместил в карантин, сделал скан с помощью касперского, угроз не обнаружено, лог с помощью автологгера прикладываю, прошу помощи!

CollectionLog-2021.01.27-23.49.zip

Изменено 27 января пользователем qwertyuio
Прикрепил лог

**regist** · 27 января

1)

WebAdvisor от McAfee [2021/01/22 10:24:25]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe

советую деинсталировать.

2) hxxps://terra.im/ - сайт вам знаком? У вас в том числе на рабочем столе созданы ярлыки ведующие на него.

3) Вы из города Нерехта?

4) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe', '');
 QuarantineFileF(':\Users\User\AppData\Local\Appdater\Updater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe', '64');
 DeleteFileMask(':\Users\User\AppData\Local\Appdater\Updater', '*', true);
 DeleteDirectory(':\Users\User\AppData\Local\Appdater\Updater');
 DeleteSchedulerTask('{DCBCD5D0-C281-40CF-B24E-C32495D54151}');
 DeleteSchedulerTask('AppdaterUpdater');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

Для повторной диагностики запустите снова AutoLogger.

qwertyuio · 28 января

1. Удалил

2. Удалил

3. Нет, но провайдер из Ярославля

4. Выполнил

Так же аваст ругался вместе с appdater, на updater.exe.

CollectionLog-2021.01.28-15.26.zip

**regist** · 28 января

7 часов назад, qwertyuio сказал:

Исчез из предыдущего сообщения

Карантин прикреплять запрещено, поэтому видно кто-то из модераторов его удалил. А в данном случае он вообще пустой, так что толку от него в любом случае нет.

1)

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk"    -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=19705&cpa=cityads&v=6&utm_campaign=skype"]
-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk"           -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=24765&cpa=cityads&v=6&utm_campaign=skype"]
-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk"          -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=29150&cpa=cityads&v=6&utm_campaign=skype"]

Ярлыки ниже как понимаю вам тоже не нужны (сами не создавали)? Можете тогда их тоже вставить вместе с ярлыками из блока выше

- "C:\Users\User\Favorites\Links\Яндекс.url"  ->                      hxxps://vvv.yandex.ru/?win=473&clid=2413675-501&from=dist_bookmark
- "C:\Users\User\Favorites\Links\Авиабилеты.url"  ->                  hxxps://avia.yandex.ru/?win=473&clid=2413675-501&utm_source=distribution&utm_medium=bookmark&utm_campaign=ru

2) Уточните у своего провайдера DNS: 5.149.205.20 принадлежат ему? Ответ на этот вопрос тут тоже сообщите.

Если нет, то узнайте его DNS и пропишите их в настройках роутера. После этого

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [RtHDVBg_LENOVO_DOLBYDRAGON] = C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /LENOVO_DOLBYDRAGON (file missing)
O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F451DE-468C-4432-B676-13764B0D4658}: [NameServer] = 5.149.204.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F451DE-468C-4432-B676-13764B0D4658}: [NameServer] = 5.149.205.20

Если это его DNS, то строчки с ними можно не фиксить.

3) Соберите свежие логи и сообщите, что с пролемой.

qwertyuio · 28 января

5 минут назад, regist сказал:

Карантин прикреплять запрещено, поэтому видно кто-то из модераторов его удалил. А в данном случае он вообще пустой, так что толку от него в любом случае нет.

Следовательно ничего не осталось от этой программы? Что еще нужно предпринять?

Я немного чистил реестр, но остались записи только в ветке аваста -> карантин.

Подскажите пожалуйста, нужно ли пользоваться программой CCleaner? Нашел около 200 ошибок в реестре, нужно ли их исправлять?

**regist** · 28 января

3 минуты назад, qwertyuio сказал:

Что еще нужно предпринять?

Читайте сообщение выше.

3 минуты назад, qwertyuio сказал:

нужно ли пользоваться программой CCleaner?

Вообще не рекомендуется пользоваться всякими чистилками и оптимизаторами, после них часто бывают проблемы. Но, имхо, CCleaner относительно безвредный.

4 минуты назад, qwertyuio сказал:

нужно ли их исправлять?

Я же не знаю, что он там за ошибки нашёл... и к вирусам это никакого отношения не имеет. Если что можете спросить в соседнем разделе.
Опять таки, имхо, если не мешает, то можете не исправлять. С другой стороны он по умолчанию создаёт бэкап и как выше написал относительно безвредный, можете попробовать исправить, а если будут проблемы вернуть назад.

qwertyuio · 28 января

ClearLNK-2021.01.28_19.49.53.log

2. DNS принадлежит провайдеру. Пофиксил без DNS. Подключение по кабелю.

Свежие логи прикрепляю.

CollectionLog-2021.01.28-23.49.zip

**regist** · 28 января

Выполните скрипт в AVZ

begin
 ClearQuarantine;
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk');
end.

Если проблемы больше нет.

Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Изменено 29 января пользователем regist

qwertyuio · 29 января

К сожалению проблема остается, попробую еще переустановить браузер, но подмена идет и в IE. Кстати сайт откуда качается s3.***.amazonaws.com, нашел тему на форуме, но adwcleaner ничего не нашел. Поиск по всей системе следов s3.amazonaws не дал результатов. Нашел причину всего - пакетный установщик skype. Можно ли его куда нибудь отправить на анализ чтобы понять что он натворил?

AdwCleaner[S00].txt

Ссылка на ВирусТотал: Проверка установщика Skype

**regist** · 29 января

28.01.2021 в 10:53, qwertyuio сказал:

2. DNS принадлежит провайдеру.

Это он так ответил или вы думаете? Я всё-таки думаю, что вирус вам подменил DNS и на роутере и в настройках сетевого подключения. Как следствие происходит описанное выше.

Так что ещё раз повторюсь позвоните провайдеру и уточните какие его DNS.

qwertyuio · 29 января

3 часа назад, regist сказал:

Это он так ответил или вы думаете? Я всё-таки думаю, что вирус вам подменил DNS и на роутере и в настройках сетевого подключения. Как следствие происходит описанное выше.

Так что ещё раз повторюсь позвоните провайдеру и уточните какие его DNS.

Это информация от провайдера. Переустановка браузера не помогла.

Изменено 29 января пользователем qwertyuio
Добавил

**regist** · 30 января

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

скачайте отсюда Оперу и проверьте проблему в ней.

Войти

Подмена при скачивании файлов name_*****.exe

Рекомендуемые сообщения

qwertyuio 0

Ссылка на сообщение

Поделиться на другие сайты

regist 592

Ссылка на сообщение

Поделиться на другие сайты

qwertyuio 0

Ссылка на сообщение

Поделиться на другие сайты

regist 592

Ссылка на сообщение

Поделиться на другие сайты

qwertyuio 0

Ссылка на сообщение

Поделиться на другие сайты

regist 592

Ссылка на сообщение

Поделиться на другие сайты

qwertyuio 0

Ссылка на сообщение

Поделиться на другие сайты

regist 592

Ссылка на сообщение

Поделиться на другие сайты

qwertyuio 0

Ссылка на сообщение

Поделиться на другие сайты

regist 592

Ссылка на сообщение

Поделиться на другие сайты

qwertyuio 0

Ссылка на сообщение

Поделиться на другие сайты

regist 592

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент