[Sandor]

Сделайте логи по этой инструкции.

[goodguy]

Вот логи

п.с. Кстати еще заметил, что если ввести не google.ru, а https://google.ru то тоже откроется реальный гугл. То есть с указанием протокола secure
такое впечатление, что в браузерах пропатчились поисковики

[Sandor]

Сделайте дополнительно лог HijackThis

[goodguy]

Вот он

читать дальше »

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:12:27, on 31.10.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\VistaFirewallControl\VistaFirewallControl.exe
C:\Program Files\ABBYY Lingvo x5\LvAgent.exe
C:\Users\Konstantin\AppData\Roaming\uTorrent\uTorrent.exe
C:\Users\Konstantin\AppData\Local\Skillbrains\lightshot\4.4.2.0\LightShot.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Konstantin\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files\Yandex\Punto Switcher\punto.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Windows\hh.exe
C:\Program Files\FlashDevelop\FlashDevelop.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\klwtblfs.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Konstantin\Downloads\avz4\avz4\avz.exe
C:\Users\Konstantin\Downloads\HiJackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll
O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"
O4 - HKLM\..\Run: [VistaFirewallControl] C:\Program Files\VistaFirewallControl\VistaFirewallControl.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo x5\LvAgent.exe" /STARTUP
O4 - HKCU\..\Run: [uTorrent] "C:\Users\Konstantin\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKCU\..\Run: [LightShot] C:\Users\Konstantin\AppData\Local\Skillbrains\lightshot\LightShot.exe Flags: uninsdeletevalue
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Create virtual drive for Denwer.lnk = C:\Apache\denwer\Boot.exe
O4 - Startup: Dropbox.lnk = Konstantin\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe
O8 - Extra context menu item: Перевести с помощью ABBYY Lingvo x&5 - res://C:\Program Files\ABBYY Lingvo x5\Lingvo.exe/3000
O9 - Extra button: Виртуальная клавиатура - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O9 - Extra button: Проверка ссылок - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: 2GIS UpdateService (2GISUpdateService) - ООО ДубльГИС - C:\Program Files\2gis\3.0\2GISUpdateService.exe
O23 - Service: Сервис лицензирования ABBYY Lingvo x5 (ABBYY.Licensing.Lingvo.Desktop.15.0) - ABBYY - C:\Program Files\Common Files\ABBYY\Lingvo\15.0\Licensing\NetworkLicenseServer.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe
O23 - Service: IconMan_R - Realsil Microelectronics Inc. - C:\Program Files\Realtek\Realtek PCIE Card Reader\RIconMan.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Control Center\VESMgr.exe
O23 - Service: VistaFirewallService - Sphinx Software - C:\Program Files\VistaFirewallControl\VistaFirewallService.exe

--
End of file - 6845 bytes

Сейчас пока проблема не наблюдается. Она каким-то образом появляется в районе 7 вечера каждый день. Предполагаю, что какая-то зараженная служба висит/ела или задание было на 7 вечера. В общем, снес все задания, AVZ нашел пару каких-то троянов в System32/drivers
их удалил
почистил кэш браузеров, и пока все нормально
если вечером не проявится, отпишусь здесь

[goodguy]

Проблема полностью исчезла. Видимо дело и было в каком-то из тех двух троянов, которые нашла avz

[Sandor]

Цитата goodguy:

тех двух троянов, которые нашла avz »

Отчет об удалении не сохранился?

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации.

[goodguy]

Рано радовался. Проблема не исчезла.
Сегодня в семь вечера опять та же фигня. При этом касперский вообще никакой реакции не проявил.
Захожу глянуть файл hosts и вижу, что он был изменен в 19:08 сегодня. Но он чист. Вообще не знаю уже куда копать.. хоть систему переустанавливай
Обнаружил в системных заданиях вот такую фигню http://prntscr.com/22a519
похоже это оно, хотя может и просто совпадение. Но в задании было указано, что нужно запускать при подключении к сети

[goodguy]

И не в задачах проблема. Уже вообще не знаю куда копать. Этот фейк просто задолбал своим периодическим появлением

[iskander-k]

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Интернет у вас какой ? Через модем , роутер или оптоволокно ?