Подмена при скачивании файлов name_*****.exe

[qwertyuio]

Здравствуйте, поймал шпиона, Avast ругался на appdater.exe и сразу поместил в карантин, сделал скан с помощью касперского, угроз не обнаружено, лог с помощью автологгера прикладываю, прошу помощи!

 

CollectionLog-2021.01.27-23.49.zip

Изменено 27 января, 2021 пользователем qwertyuio
Прикрепил лог

[regist]

1)

WebAdvisor от McAfee [2021/01/22 10:24:25]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe

советую деинсталировать.

 

2) hxxps://terra.im/ - сайт вам знаком? У вас в том числе на рабочем столе созданы ярлыки ведующие на него.

 

3) Вы из города Нерехта?

 

4) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe', '');
 QuarantineFileF(':\Users\User\AppData\Local\Appdater\Updater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe', '64');
 DeleteFileMask(':\Users\User\AppData\Local\Appdater\Updater', '*', true);
 DeleteDirectory(':\Users\User\AppData\Local\Appdater\Updater');
 DeleteSchedulerTask('{DCBCD5D0-C281-40CF-B24E-C32495D54151}');
 DeleteSchedulerTask('AppdaterUpdater');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger.

[qwertyuio]

1. Удалил

2. Удалил

3. Нет, но провайдер из Ярославля

4. Выполнил

 

Так же аваст ругался вместе с appdater, на updater.exe.

CollectionLog-2021.01.28-15.26.zip

[regist]

7 часов назад, qwertyuio сказал:

Исчез из предыдущего сообщения

Карантин прикреплять запрещено, поэтому видно кто-то из модераторов его удалил. А в данном случае он вообще пустой, так что толку от него в любом случае нет.

 

 

 

1)

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk"    -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=19705&cpa=cityads&v=6&utm_campaign=skype"]
-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk"           -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=24765&cpa=cityads&v=6&utm_campaign=skype"]
-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk"          -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=29150&cpa=cityads&v=6&utm_campaign=skype"]

Ярлыки ниже как понимаю вам тоже не нужны (сами не создавали)? Можете тогда их тоже вставить вместе с ярлыками из блока выше

- "C:\Users\User\Favorites\Links\Яндекс.url"  ->                      hxxps://vvv.yandex.ru/?win=473&clid=2413675-501&from=dist_bookmark
- "C:\Users\User\Favorites\Links\Авиабилеты.url"  ->                  hxxps://avia.yandex.ru/?win=473&clid=2413675-501&utm_source=distribution&utm_medium=bookmark&utm_campaign=ru

2) Уточните у своего провайдера DNS: 5.149.205.20 принадлежат ему? Ответ на этот вопрос тут тоже сообщите.

Если нет, то узнайте его DNS и пропишите их в настройках роутера. После этого

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [RtHDVBg_LENOVO_DOLBYDRAGON] = C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /LENOVO_DOLBYDRAGON (file missing)
O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F451DE-468C-4432-B676-13764B0D4658}: [NameServer] = 5.149.204.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F451DE-468C-4432-B676-13764B0D4658}: [NameServer] = 5.149.205.20

 

Если это его DNS, то строчки с ними можно не фиксить.

 

3) Соберите свежие логи и сообщите, что с пролемой.

 

[qwertyuio]

5 минут назад, regist сказал:

Карантин прикреплять запрещено, поэтому видно кто-то из модераторов его удалил. А в данном случае он вообще пустой, так что толку от него в любом случае нет.

 

 

Следовательно ничего не осталось от этой программы? Что еще нужно предпринять?

Я немного чистил реестр, но остались записи только в ветке аваста -> карантин.

Подскажите пожалуйста, нужно ли пользоваться программой CCleaner? Нашел около 200 ошибок в реестре, нужно ли их исправлять?

[regist]

3 минуты назад, qwertyuio сказал:

Что еще нужно предпринять?

Читайте сообщение выше.

3 минуты назад, qwertyuio сказал:

нужно ли пользоваться программой CCleaner?

Вообще не рекомендуется пользоваться всякими чистилками и оптимизаторами, после них часто бывают проблемы. Но, имхо, CCleaner относительно безвредный.

 

4 минуты назад, qwertyuio сказал:

нужно ли их исправлять?

Я же не знаю, что он там за ошибки нашёл... и к вирусам это никакого отношения не имеет. Если что можете спросить в соседнем разделе.
Опять таки, имхо, если не мешает, то можете не исправлять. С другой стороны он по умолчанию создаёт бэкап и как выше написал относительно безвредный, можете попробовать исправить, а если будут проблемы вернуть назад.

[qwertyuio]

ClearLNK-2021.01.28_19.49.53.log

 

2. DNS принадлежит провайдеру. Пофиксил без DNS. Подключение по кабелю.

Свежие логи прикрепляю.

CollectionLog-2021.01.28-23.49.zip

[regist]

Выполните скрипт в AVZ

begin
 ClearQuarantine;
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk');
end.

 

Если проблемы больше нет.

 

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Изменено 29 января, 2021 пользователем regist

[qwertyuio]

К сожалению проблема остается, попробую еще переустановить браузер, но подмена идет и в IE. Кстати сайт откуда качается s3.***.amazonaws.com, нашел тему на форуме, но adwcleaner ничего не нашел. Поиск по всей системе следов s3.amazonaws не дал результатов. Нашел причину всего - пакетный установщик skype. Можно ли его куда нибудь отправить на анализ чтобы понять что он натворил?

AdwCleaner[S00].txt

 

Ссылка на ВирусТотал: Проверка установщика Skype

[regist]

28.01.2021 в 10:53, qwertyuio сказал:

2. DNS принадлежит провайдеру.

Это он так ответил или вы думаете? Я всё-таки думаю, что вирус вам подменил DNS и на роутере и в настройках сетевого подключения. Как следствие происходит описанное выше.

Так что ещё раз повторюсь позвоните провайдеру и уточните какие его DNS.

[qwertyuio]

3 часа назад, regist сказал:

Это он так ответил или вы думаете? Я всё-таки думаю, что вирус вам подменил DNS и на роутере и в настройках сетевого подключения. Как следствие происходит описанное выше.

Так что ещё раз повторюсь позвоните провайдеру и уточните какие его DNS.

Это информация от провайдера. Переустановка браузера не помогла.

Изменено 29 января, 2021 пользователем qwertyuio
Добавил

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

скачайте отсюда Оперу и проверьте проблему в ней.