[РЕШЕНО] Тип: Возможна неправомерная загрузка ПО

[vplayer]

Здравствуйте. Касперски Тотал обнаружил две проблемы.  

 

Событие: Загрузка остановлена
Пользователь: ANDREYPC-SSD\HAV27
Тип пользователя: Активный пользователь
Имя программы: msedge.exe
Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Возможна неправомерная загрузка ПО
Название: https://absoluteroute.com/bens/vinos.js?24105&u=16628886042292839294&a=0.30646717841474325
Степень угрозы: Высокая

 

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: msedge.exe
Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: sync.s13.icontextdev.ru
Причина: Недопустимое имя сертификата.  Имя не включено в список разрешенных или явно исключено из него. 

 

Тип: Возможна неправомерная загрузка ПО - это срабатывает только в одном браузере M Edge. Удалял папку Temp. стирал куки, отключал расширения в Edge - нет эффекта..

Проверил KWRT и Cureit -найденное удалил.. Проверил Avtologgerом-вот отчет.. Прощу помочь!

 

CollectionLog-2022.09.19-11.02.zip

[Sandor]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

MediaGet

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[vplayer]

Mediaget  - удалено..

лог AdwCleaner..

AdwCleaner[S00].txt

[Sandor]

Продолжаем:

 

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[vplayer]

1.Все сделал по пунктам. Отчет

AdwCleaner[C01].txt

перезагрузил..

2.Логи Farbar

3. Вопрос. Нужно ли останавливать KTS на время проверок? или необязательно? во избехание конфликтов и т.д.

Addition.txt FRST.txt

[Sandor]

Да, желательно останавливать и, как правило, мы об этом сообщаем.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1473094942-654797265-3760534968-1001\...\MountPoints2: {bc323697-9791-11ec-b88a-485b39c61710} - "I:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-1473094942-654797265-3760534968-1001\...\MountPoints2: {bc3237bc-9791-11ec-b88a-485b39c61710} - "I:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-1473094942-654797265-3760534968-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  CustomCLSID: HKU\S-1-5-21-1473094942-654797265-3760534968-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> отсутствует путь к файлу
  Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  Нет файла
  Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  Нет файла
  Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
  Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[vplayer]

 касперский еще фиксирует проблему

лог..

 

Fixlog.txt

[Sandor]

Поскольку Edge сделан на движке Chrome, дальнейшие рекомендации будут для Хрома, а вы их применяйте в Эдж.

 

Сделайте Сброс настроек браузера Chrome.

 

Если не поможет, Отключите синхронизацию в Chrome и проверьте.

[vplayer]

После сброса настроек KTS  молчит. Перезагружал- тишина.. Похоже, вопрос закрыт.

Большое спасибо за помощь. Можно вкратце, откуда у проблемы ноги росли? И еще,  FRST и AdwCleaner  можно удалять?

[Sandor]

26 минут назад, vplayer сказал:

откуда у проблемы ноги росли?

Мы почистили адварь, скорее всего оттуда.

 

27 минут назад, vplayer сказал:

FRST и AdwCleaner  можно удалять?

Да, таким образом:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[vplayer]

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.17.4580 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.00 (x64) v.22.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 6.5 v.6.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2147.16 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
AIMP v.v4.60.2180, 25.03.2020 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.7.5.1027 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Razer Cortex v.9.18.7.1508 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
YTD Video Downloader 5.9.18.8 v.5.9.18.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.3.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

На перечисленное обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

[vplayer]

Все ясно. И еще раз огромное спасибо! 

 

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".