Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.75/4: Рейтинг темы: голосов - 4, средняя оценка - 4.75
0 / 0 / 0
Регистрация: 10.12.2017
Сообщений: 5
1

При попытке скачивания любого файла он заменяется на подозрительный архив

10.12.2017, 00:46. Показов 830. Ответов 9
Метки нет (Все метки)

После скачивания файла с торрента появились всякие амиго, MailRu и им подобные, Malwarebytes их всех удачно почистил и теперь не находит ничего, а вот эта проблема осталась.
0
Вложения
Тип файла: zip CollectionLog-2017.12.10-00.26.zip (99.8 Кб, 4 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
10.12.2017, 00:46
Ответы с готовыми решениями:

Файлы при скачивании заменяются на подозрительный архив
Добрый день. Столкнулся с такой проблемой, при скачивании файлов с различных сайтов, они...

Файлы при скачивании заменяются на подозрительный архив
Добрый день. Столкнулся с такой проблемой, при скачивании файлов с различных сайтов, они...

Вместо любого файла качает архив
Я так понимаю,что-то подменяет любой файл,какой бы я не качал , на архив с программой,которая мне...

IDHTTP: При попытке скачивания фалов большего размера, они скачиваются без формата
Всем доброго времени суток. Есть программа, которая должна по клику скачивать файл по заданной в...

__________________

Записывайтесь на профессиональные курсы специалистов по кибербезопасности
9
Вирусоборец
7618 / 5087 / 845
Регистрация: 06.09.2009
Сообщений: 20,178
10.12.2017, 11:19 2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\rempl\remsh.exe','');
 DeleteFile('C:\Windows\system32\icacl.exe','32');
 DeleteFile('C:\Program Files\rempl\remsh.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\rempl\shell','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\rempl\shell-compact','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\rempl\shell-unlock','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\rempl\shell-unlock-sih','64');
 DeleteService('icacl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJack из папки Autologger
Код
O17 - HKLM\System\CCS\Services\Tcpip\..\{99cfaeb5-eb4d-47b7-8aba-56ca34f6911e}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{99cfaeb5-eb4d-47b7-8aba-56ca34f6911e}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{99cfaeb5-eb4d-47b7-8aba-56ca34f6911e}: NameServer = 82.202.226.203

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
0
0 / 0 / 0
Регистрация: 10.12.2017
Сообщений: 5
10.12.2017, 16:48  [ТС] 3
Письмо отправил, вот логи
0
Вложения
Тип файла: zip CollectionLog-2017.12.10-16.47.zip (97.4 Кб, 3 просмотров)
Вирусоборец
7618 / 5087 / 845
Регистрация: 06.09.2009
Сообщений: 20,178
10.12.2017, 19:38 4
Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
0 / 0 / 0
Регистрация: 10.12.2017
Сообщений: 5
10.12.2017, 22:14  [ТС] 5
Вот отчёт
0
Вложения
Тип файла: rar Отчёт.rar (55.9 Кб, 3 просмотров)
Эксперт WindowsАвтор FAQ
17603 / 7446 / 884
Регистрация: 25.12.2011
Сообщений: 11,236
Записей в блоге: 16
10.12.2017, 23:36 6
Скачайте отладочную версию HiJackThis и сделайте отчёт по этой инструкции.

Приложите отчёт HiJackThis_debug.log
0
0 / 0 / 0
Регистрация: 10.12.2017
Сообщений: 5
11.12.2017, 00:18  [ТС] 7
Не позволяет загрузить файл
"HiJackThis_debug.log: Ваш файл занимает 3.70 Мб байт, что превышает предел на форуме в 20.0 Кб для этого типа файла."
0
Эксперт WindowsАвтор FAQ
17603 / 7446 / 884
Регистрация: 25.12.2011
Сообщений: 11,236
Записей в блоге: 16
11.12.2017, 00:51 8
Заархивируйте.
0
0 / 0 / 0
Регистрация: 10.12.2017
Сообщений: 5
11.12.2017, 02:31  [ТС] 9
Сделал
0
Вложения
Тип файла: rar Отчёт.rar (110.8 Кб, 2 просмотров)
Вирусоборец
7618 / 5087 / 845
Регистрация: 06.09.2009
Сообщений: 20,178
16.12.2017, 08:25 10
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKU\S-1-5-21-2350130303-32141521-2394344597-1001\...\Run: [amigo] => C:\Users\ADM\AppData\Local\Amigo\Application\amigo.exe --no-startup-window <==== ATTENTION
HKU\S-1-5-21-2350130303-32141521-2394344597-1001\...\Run: [ycAutoLaunch_8EFD4EF17F673F59534D04295FC3526C] => "C:\Users\ADM\AppData\Local\yc\Application\yc.exe" /prefetch:5
2017-12-07 17:14 - 2017-12-07 17:14 - 001986082 ____N () C:\Users\ADM\AppData\Local\Temp\RThDuvpOkapz.exe
2017-12-07 17:00 - 2017-12-07 17:00 - 002575032 _____ () C:\Users\ADM\AppData\Local\Temp\t4OWxyQSRoxZ.exe
2017-12-07 17:07 - 2017-12-07 17:07 - 038316032 _____ (The Chromium Authors) C:\Users\ADM\AppData\Local\Temp\ZfXmznMRGdaT.exe
Task: {6D99D150-B1F4-429B-B0CF-C620A9ED9B6A} - \Microsoft\Windows\rempl\shell-compact -> No File <==== ATTENTION
Task: {752B7753-BDDC-4E07-AC9B-7BB6C97A3006} - \Microsoft\Windows\rempl\shell -> No File <==== ATTENTION
Task: {98334369-C8BB-4546-B87D-9542A029CCAB} - \Microsoft\Windows\rempl\shell-unlock -> No File <==== ATTENTION
Task: {ACD7D62F-2FE0-453B-A4F5-0DC2CD0775EC} - \Microsoft\Windows\rempl\shell-unlock-sih -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
16.12.2017, 08:25

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

при попытке запуска ЛЮБОГО приложения вылетает ошибка
Винда 7. Скачал руссификотор для игрушки. Скачался он в exe формате. После запуска ноут ушел на...

При попытке запуска любого ASP-скрипта выдается ошибка 500.
Стоит 2000 с SP3. И пятый IIS. При попытке запуска любого ASP-скрипта выдается ошибка 500. Скрипт...

Ошибка "ES:0180840b" при попытке скачивания программы из ПЛК MITSUBISHI FX3U
возникла проблема с попыткой скачивания программы с ПЛК- выдаёт ошибку ES:0180840b Подробности:...

Почему WinRar после скачивания архива при попытке его распаковки требует пароль, если его нет?
Почему WinRar после скачивания архива при попытке его распаковки требует пароль, если его нет?


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.