Подозрение на вирус
 

Здравствуйте. В последние несколько дней наблюдается подозрительная активность - антивирус Norton 360 постоянно высвечивает сообщения в нижнем углу экрана о блокировке попытки вторжения с сайта ua1.lunrac.com. Я погуглил и обнаружил преимущественно англоязычные ссылки, из которых следует, что это вирусный сайт, однако я никогда на него не заходил. Может ли быть, что мой компьютер уже заражён эти вирусом? Прикрепляю логи безопасности антивируса.

Здравствуйте,

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Вот, надеюсь, сделал всё так, как в инструкции:

Здравствуйте,

Удалите AskPartnerNetwork через установку программ в панели управления.


HiJackThis профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Подготовьте и прикрепите лог сканирования AdwCleaner.

Не совсем понял, каким образом? В "Панель управления/Программы и компоненты" AskPartnerNetwork отсутствует в списке установленных программ.

Сделано.

Сделано.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Сделано.

Сообщите, что с проблемой?

Вроде пока антивирус не ругается. Только я заметил, что домашняя страница браузера (Rambler.ru) при открытии сразу прокручивается в самый низ страницы, может, это тоже как-то с этим связано?

Уточните пожалуйста это происходит во всех браузерах?

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Нет, только в Firefox. При попытке открытия сайта rambler.ru в Internet Explorer внизу появляется сообщение "Браузером Internet Explorer заблокировано отображение контента этого веб-сайта с ошибочным сертификатом безопасности" и отображается пустая белая страница без содержимого.

Прикладываю логи.

Попробуйте отключить все расширения в Firefox и воспроизвести проблему.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  ---

  Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\IPS\IPSBHO.DLL => No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1225195.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton 360\Engine\22.17.3.50\Exts\Chrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton 360\Engine\22.17.3.50\Exts\Chrome.crx <not found>
File: C:\Windows\IsUn0419.exe
File: C:\Windows\IsUninst.exe
File: C:\Windows\IsUninstR.Exe
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [216]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [216]
FirewallRules: [{BE44102C-EF41-4D52-8994-5078594B58B3}] => (Allow) C:\Users\Alexandr\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{4B6DA86B-3CC9-4450-BA19-33541A026F14}] => (Allow) C:\Users\Alexandr\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{50B197FC-E3CA-49D1-8725-6B334FB9F904}] => (Allow) C:\Users\Alexandr\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{75C8859C-41A0-4A90-9FC1-7B7A9D0B3DF5}] => (Allow) C:\Users\Alexandr\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{44F048EE-FD7B-485A-96CA-76CE8A67A5F8}] => (Allow) C:\Users\Alexandr\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{DC694599-FF75-4C3C-AA5A-759EEB3FE257}] => (Allow) C:\Users\Alexandr\AppData\Roaming\uTorrent\uTorrent.exe No File
Reboot:
End::

  ---

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Сделано.

Сообщите, что с проблемой?

Ну, пока антивирус вроде не ругается, но сайт rambler.ru по-прежнему при открытии прокручивается в самый низ. Не знаю, может быть, проблема в самом сайте? Просто привык к rambler.ru за много лет.

Вы пробловали на время отключить все расширения в Firefox и воспроизвести проблему?

Да, попробовал отключить все расширения - всё равно rambler.ru при открытии прокручивается вниз. Хотя м. б. это из-за того, что у меня включен "старый" дизайн сайта? Если переключится на "новый", то тогда открывается нормально.

Если проблема думаете связана из-за дизайна, то попробуйте обратиться в тех. поддержку Firefox или на оф. форум Mozilla за консультацией.

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Удалил AdwCleaner и FRST64.exe, перезагрузил компьютер, зашёл на этот форум - и опять антивирус начал ругаться на попытку вторжения с ua1.lunrac.com!

Прикрепляю лог SecurityCheck.

1) Уточните пожалуйста, проблема возникает при работе с Firefox или другим браузером?
2) Проблема возникает с включенными расширениями?


------------------------------- [ Windows ] -------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
GIMP 2.8.16 v.2.8.16 Внимание! Скачать обновления
Microsoft .NET Framework 4.5 v.4.5.50710 Внимание! Скачать обновления
NVIDIA GeForce Experience 1.8.2.1 v.1.8.2.1 Внимание! Скачать обновления
Microsoft Office Access 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
K-Lite Mega Codec Pack 10.5.0 v.10.5.0 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.4.44521 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.2.5.1.17730 Внимание! Скачать обновления
Adobe Shockwave Player 12.2 v.12.2.5.195 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Media Player v.1.8 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Norton PC Checkup v.2.0.15.96 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

Также уточните пожалуйста, вам знакомы следующие настройки?
Сами ли прописывали указанные маршруты?

1) Пользуюсь только Firefox. Internet Explorer формально установлен, но я им не пользуюсь.
2) Да, блокировщик рекламы и VPN включены, но раньше никаких проблем не было, всё началось внезапно.

Если не ошибаюсь, это маршруты для подключения к Интернету?

Они были прописаны вами или вашем провайдером?

Если их выключить проблема проявляется если да, то скаким из расширений?

Когда я подключал компьютер к Интернету, то всё настраивал сам по инструкциям провайдера. Прописывал те адреса, которые были даны в инструкциях провайдера.

Не знаю. Нужно попробовать временно отключить все расширения Firefox?

А всё-таки, если не секрет, по результатам логов мой компьютер и правда заражён malware-вирусом?

так такого вредоносного По обнаружено не было, есть предположение подмены расширения.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Сделано, но антивирус автоматически удалил cmpimg.exe как небезопасный.

В логах ничего плохого не видно, проблема проявляется?

Да, сегодня очень много раз ругался антивирус на ua1.lunrac.com при попытке захода на различные сайты, в т. ч. и на этот форум.

Наверное, мне нужно попробовать отключить расширения для Firefox?

Либо так, либо попробуйте следующее.


Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

Здравствуйте, извиняюсь за столь долгое отсутствие. Выкладываю лог Malwarebytes. Кажется, мне удалось выявить причины появления всплывающих окон антивируса - они исчезают после выключения расширения Browsec VPN для Firefox и наоборот появляются при его включении. Выходит, мне необходимо установить иное расширение?

Удалите в MBAM следующее:
Вам скорее всего необходимо удалить указанное расширение, возможно была подмена расширения или разработчик решил внедрить рекламу.