@index58

Здравствуйте.
По правилам раздела сразу кидаю архив с результатами теста:
Вложение 968282

Теперь по сути.
Недавно заметил, что оба браузера (Google Chrome и Mozilla Firefox) иногда грузят процессор. Именно иногда, то есть, не каждый раз и не на каждом сайте. Это было без антивируса. Поставил антивирус Malwarebytes v3.6.1.2711. При обращении браузера к некоторым сайтам антивирус начал писать: "Сайт заблокирован из-за троянских программ" и давать ссылки на совсем другие хосты: hostingcloud.science, srcip.com, ddgu.ddos-guard.net, jshosting.trade, hostingcloud.download, www.brigade.herobo.com, ... С антивирусом загрузка процессора прекратилась. Я проверил свои сайты сервисом VirusTotal, но он в них ничего не нашёл. Тем не менее, даже при входе на www.cyberforum.ru антивирус начал выдавать такие же сообщения о троянах. Вот скрины:

Причём, это я уже переустановил систему (Windows 7 x64, сборка) заново с нуля. Эту сборку я ставил уже много раз на разные машины, и никаких проблем не было. То есть, я поставил проверенную винду, поставил Malwarebytes, через IE скачал Firefox по ссылке https://yandex.ru/firefox/, начал заходить на сайты, и антивирус начал писать мне, что у меня трояны. У меня возник вопрос: "Откуда???".
Я скачал программу CureIt! от DrWeb, запустил полную проверку всех дисков, но программа ничего не обнаружила.
Я отключил Malwarebytes, начал ходить по сайтам, дождался загрузки процессора и сохранил страницу сайта полностью.
Потом проверил сохранённые файлы программой CureIt!, и она обнаружила троян в файле M5q5.js. Этот скрипт я переименовал в M5q5.jpg и закинул на файловый хостинг. Вот ссылка на него: ссылка. В этом скрипте я ничего не понимаю, там ещё и закодирована большая часть.

Подскажите, пожалуйста, откуда берётся эта зараза, и как мне избавиться от неё.

0

@index58

Вложение с результатами теста не загрузилось, прикрепляю ещё раз
CollectionLog-2018.09.28-12.19.zip

0

@Sandor

Здравствуйте!

Антивирус (как и другие программы) желательно скачивать с сайта производителя.

Так и есть - https://www.virustotal.com/ru/... 538129390/

Внимание! Рекомендации написаны специально для пользователя index58. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Код

   begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\programdata\mbhelper.exe');
    QuarantineFile('c:\programdata\mbhelper.exe', '');
    DeleteFile('c:\programdata\mbhelper.exe', '');
    DeleteFile('C:\ProgramData\mbhelper.exe', '32');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Malawrebytes Helper', '32');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
   RebootWindows(true);
   end.

   Компьютер перезагрузится.
   
   После перезагрузки, выполните такой скрипт:
   
   
   Код

   begin
   DeleteFile(GetAVZDirectory+'quarantine.7z');
   ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
   end.

2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
   К сообщению прикреплять файл quarantine.7z не нужно!
   
   
   
3. Подготовьте новый CollectionLog.

1

@index58

Название карантина: 2018.09.28_quarantine_095c817834e96580c2baeab570e21665.7z
Новый CollectionLog: CollectionLog-2018.09.28-14.41.zip

0

@Sandor

Если проблема еще актуальна, проверьте, проявляется ли в Internet Explorer и сообщите.

1

@index58

Да, проблема проявляется:

0

@Sandor

К сети подключаетесь через роутер? Если да, одно устройство?

1

@index58

Да, через роутеры. Три штуки:
1) MikroTik (подключен к провайдеру, раздаёт IP-адреса)
2) к Микротику подключен роутер D-Link (работает как повторитель, в тех же адресах)
3) к Д-Линку подключен роутер TP-Link (работает как повторитель, в тех же адресах)
К ТП-Линку подключен комп.
К Микротику подключен ещё один комп, на нём проблема такая же.

0

@Sandor

Сделайте аппаратный сброс настроек этого роутера на заводские, введите правильные настройки, смените пароль на вход в настройки роутера на сложный, очистите куки и кэш браузеров.
Также проверьте на сайте производителя, возможно нужно обновить прошивку.

Добавлено через 1 минуту
Также прочтите и закройте уязвимости - https://habr.com/post/424433/

1

@index58

Вы оказались правы.
Вирус (ссылка на вирусный JS-скрипт) был в роутере Микротик в двух файлах error.html в двух разных папках.
Как лечили:
1. Обновили прошивку роутера Микротик.
2. Сбросили настройки роутера Микротик к заводским (Интернет пропал).
3. Переустановили винду на компах.
4. Через winbox удалили эти ссылки в файлах (они почему-то остались даже после сброса настроек!!!)
5. Закрыли уязвимости по статье.
6. Настроили роутер на рабочий режим.

Спасибо за помощь, друзья!
Большое дело делаете, молодцы!

0

@Sandor

Рекомендации после удаления вредоносного ПО

1