Перейти к содержанию

Подмена при скачивании файлов name_*****.exe


Рекомендуемые сообщения

Здравствуйте, поймал шпиона, Avast ругался на appdater.exe и сразу поместил в карантин, сделал скан с помощью касперского, угроз не обнаружено, лог с помощью автологгера прикладываю, прошу помощи!

 

CollectionLog-2021.01.27-23.49.zip

Изменено пользователем qwertyuio
Прикрепил лог
Ссылка на сообщение
Поделиться на другие сайты

1)

WebAdvisor от McAfee [2021/01/22 10:24:25]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe

советую деинсталировать.

 

2) hxxps://terra.im/ - сайт вам знаком? У вас в том числе на рабочем столе созданы ярлыки ведующие на него.

 

3) Вы из города Нерехта?

 

4) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe', '');
 QuarantineFileF(':\Users\User\AppData\Local\Appdater\Updater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe', '64');
 DeleteFileMask(':\Users\User\AppData\Local\Appdater\Updater', '*', true);
 DeleteDirectory(':\Users\User\AppData\Local\Appdater\Updater');
 DeleteSchedulerTask('{DCBCD5D0-C281-40CF-B24E-C32495D54151}');
 DeleteSchedulerTask('AppdaterUpdater');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger.

Ссылка на сообщение
Поделиться на другие сайты

1. Удалил

2. Удалил

3. Нет, но провайдер из Ярославля

4. Выполнил

 

Так же аваст ругался вместе с appdater, на updater.exe.

CollectionLog-2021.01.28-15.26.zip

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, qwertyuio сказал:

Исчез из предыдущего сообщения

Карантин прикреплять запрещено, поэтому видно кто-то из модераторов его удалил. А в данном случае он вообще пустой, так что толку от него в любом случае нет.

 

 

 

1)

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk"    -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=19705&cpa=cityads&v=6&utm_campaign=skype"]
-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk"           -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=24765&cpa=cityads&v=6&utm_campaign=skype"]
-[HTTP] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk"          -> ["C:\Windows\explorer.exe"  =>> url="hxxps://terra.im/gl/?cid=18742&oid=29150&cpa=cityads&v=6&utm_campaign=skype"]

Ярлыки ниже как понимаю вам тоже не нужны (сами не создавали)? Можете тогда их тоже вставить вместе с ярлыками из блока выше

- "C:\Users\User\Favorites\Links\Яндекс.url"  ->                      hxxps://vvv.yandex.ru/?win=473&clid=2413675-501&from=dist_bookmark
- "C:\Users\User\Favorites\Links\Авиабилеты.url"  ->                  hxxps://avia.yandex.ru/?win=473&clid=2413675-501&utm_source=distribution&utm_medium=bookmark&utm_campaign=ru

2) Уточните у своего провайдера DNS: 5.149.205.20 принадлежат ему? Ответ на этот вопрос тут тоже сообщите.

Если нет, то узнайте его DNS и пропишите их в настройках роутера. После этого

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [RtHDVBg_LENOVO_DOLBYDRAGON] = C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /LENOVO_DOLBYDRAGON (file missing)
O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F451DE-468C-4432-B676-13764B0D4658}: [NameServer] = 5.149.204.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{03F451DE-468C-4432-B676-13764B0D4658}: [NameServer] = 5.149.205.20

 

Если это его DNS, то строчки с ними можно не фиксить.

 

3) Соберите свежие логи и сообщите, что с пролемой.

 

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, regist сказал:

Карантин прикреплять запрещено, поэтому видно кто-то из модераторов его удалил. А в данном случае он вообще пустой, так что толку от него в любом случае нет.

 

 

Следовательно ничего не осталось от этой программы? Что еще нужно предпринять?

Я немного чистил реестр, но остались записи только в ветке аваста -> карантин.

Подскажите пожалуйста, нужно ли пользоваться программой CCleaner? Нашел около 200 ошибок в реестре, нужно ли их исправлять?

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, qwertyuio сказал:

Что еще нужно предпринять?

Читайте сообщение выше.

3 минуты назад, qwertyuio сказал:

нужно ли пользоваться программой CCleaner?

Вообще не рекомендуется пользоваться всякими чистилками и оптимизаторами, после них часто бывают проблемы. Но, имхо, CCleaner относительно безвредный.

 

4 минуты назад, qwertyuio сказал:

нужно ли их исправлять?

Я же не знаю, что он там за ошибки нашёл... и к вирусам это никакого отношения не имеет. Если что можете спросить в соседнем разделе.
Опять таки, имхо, если не мешает, то можете не исправлять. С другой стороны он по умолчанию создаёт бэкап и как выше написал относительно безвредный, можете попробовать исправить, а если будут проблемы вернуть назад.

Ссылка на сообщение
Поделиться на другие сайты

ClearLNK-2021.01.28_19.49.53.log

 

2. DNS принадлежит провайдеру. Пофиксил без DNS. Подключение по кабелю.

Свежие логи прикрепляю.

CollectionLog-2021.01.28-23.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
 ClearQuarantine;
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk');
end.

 

Если проблемы больше нет.

 

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

К сожалению проблема остается, попробую еще переустановить браузер, но подмена идет и в IE. Кстати сайт откуда качается s3.***.amazonaws.com, нашел тему на форуме, но adwcleaner ничего не нашел. Поиск по всей системе следов s3.amazonaws не дал результатов. Нашел причину всего - пакетный установщик skype. Можно ли его куда нибудь отправить на анализ чтобы понять что он натворил?

AdwCleaner[S00].txt

 

Ссылка на ВирусТотал: Проверка установщика Skype

Ссылка на сообщение
Поделиться на другие сайты
28.01.2021 в 10:53, qwertyuio сказал:

2. DNS принадлежит провайдеру.

Это он так ответил или вы думаете? Я всё-таки думаю, что вирус вам подменил DNS и на роутере и в настройках сетевого подключения. Как следствие происходит описанное выше.

Так что ещё раз повторюсь позвоните провайдеру и уточните какие его DNS.

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, regist сказал:

Это он так ответил или вы думаете? Я всё-таки думаю, что вирус вам подменил DNS и на роутере и в настройках сетевого подключения. Как следствие происходит описанное выше.

Так что ещё раз повторюсь позвоните провайдеру и уточните какие его DNS.

Это информация от провайдера. Переустановка браузера не помогла.

Изменено пользователем qwertyuio
Добавил
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

скачайте отсюда Оперу и проверьте проблему в ней.

 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • BZZ
      От BZZ
      Доброго времени суток!
      Мой ПК и телефон (Айфон) были заражены шпионским ПО и я уверен в этом на 100%, но не знаю названия программы, скачал антивирус, но тот пишет, что "У вас нет приложений для удаленного доступа"
      ПО не раз ограничивало в контенте, меняя даты публикации, например, уже вышедшие видео на ютубе как недавние, и вообще любой информации на экране, абсолютно любой. Что делать, подскажите! С телефоном всё так же, как и на ПК, может отправлять свои уведомления, например, пополнения на карту, уведомление сообщений от людей, которые ничего мне не писали и если даже начать диалог, то сообщения могут и не быть видны другому человеку, в беседе нет сообщений, менять любую информацию, контент, всё что угодно, всё что на экране
    • melnikovlb
      От melnikovlb
      Здравствуйте! Дело срочное, на рабочий ПК попал новый терминатор, zamguard64.sys. В фаре скрывается, на вирустотале прочесать не удалось. Залез в инет и вычитал про троян. Логи сейчас не могу сделать, можете сказать, что пока можно сделать?
    • Levi
      От Levi
      Добрый день.
      Мой офисный компьютер отслеживается человеком, которому нечем заняться в своей жизни, кроме как лезть в жизнь других людей.
      Способ отслеживания (интернет или локальная сеть) мне неизвестен. Неизвестна так же и программа, по которой отслеживаются мои действия за компьютером.
      При первой проверке avz4 были выявлены вирусы, подозрительные/замаскированные файлы, файлы перехвата, которые способствовали передаче данных о моих действиях/активности за данным компьютером.
      Файлы были удалены сразу же через avz4. 
      При повторной, более расширенной проверке, таких подозрительных файлов было обнаружено в разы больше. Особенно, насторожили строки в проверке: >> Безопасность: к ПК разрешен доступ анонимного пользователя
      >> Безопасность: Разрешена отправка приглашений удаленному помощнику
      Вопросы в данной ситуации стандартные: как быть?что делать?как обрубить доступ данной программе?
      Прошу у неравнодушных дельного совета, кому так же неприятны факты слежки. Спасибо заранее.
      К теме прикрепляю лог с последней расширенной проверкой avz4.
       
       
       
      Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.46 Сканирование запущено в 23.04.2018 12:06:33 Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37 Загружены микропрограммы эвристики: 412 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 790760 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 6.3.9600,  "Windows 8.1 Single Language", дата инсталляции 19.11.2014 16:45:09 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode  Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A4F8E->74771960 Перехватчик kernel32.dll:ReadConsoleInputExA (1095) нейтрализован Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A4FC1->74771990 Перехватчик kernel32.dll:ReadConsoleInputExW (1096) нейтрализован  Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C840->7293B720 Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C560->7293B540 Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C8F0->7293C900 Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован Функция ntdll.dll:ZwCreateFile (1651) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C840->7293B720 Перехватчик ntdll.dll:ZwCreateFile (1651) нейтрализован Функция ntdll.dll:ZwSetInformationFile (1930) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C560->7293B540 Перехватчик ntdll.dll:ZwSetInformationFile (1930) нейтрализован Функция ntdll.dll:ZwSetValueKey (1961) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C8F0->7293C900 Перехватчик ntdll.dll:ZwSetValueKey (1961) нейтрализован  Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74FF8DC0->7293B490 Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->75004600->72990DB0 Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован  Анализ advapi32.dll, таблица экспорта найдена в секции .text  Анализ ws2_32.dll, таблица экспорта найдена в секции .text  Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[72601068]  >>> Код руткита в функции InternetAlgIdToStringA нейтрализован Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[72601170]  >>> Код руткита в функции InternetAlgIdToStringW нейтрализован  Анализ rasapi32.dll, таблица экспорта найдена в секции .text  Анализ urlmon.dll, таблица экспорта найдена в секции .text  Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов  Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти  Количество найденных процессов: 24  Количество загруженных модулей: 318 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP)  Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами  В базе 317 описаний портов  На данном ПК открыто 81 TCP портов и 35 UDP портов  Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем  >>  Разрешен автозапуск с HDD  >>  Разрешен автозапуск с сетевых дисков  >>  Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 342, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 23.04.2018 12:07:39 Сканирование длилось 00:01:09 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ  можно использовать сервис http://virusdetector.ru/
    • Johnhy ( Максим )
      От Johnhy ( Максим )
      Каждые 10 минут ( случайно вроде бы , без периодичности ) когда как , слышу звуки, щелчки открытия папок . Не могу найти этот вирус или шпиона этого. Антивирус eset smart security 8 . Вируса не нашел при детальном сканировании . Иногда слышу щелчок открытия папок, когда по ним не "хожу". Помогите пожалуйста с этим вопросом , началось это все не помню даже когда ... AVZ - антивирусная утилита тоже ничего не нашла, есет не нашел. Жду помощи) 
       
×
×
  • Создать...