Перейти к содержанию

[РЕШЕНО] Тип: Возможна неправомерная загрузка ПО


Рекомендуемые сообщения

Здравствуйте. Касперски Тотал обнаружил две проблемы.  

 

Событие: Загрузка остановлена
Пользователь: ANDREYPC-SSD\HAV27
Тип пользователя: Активный пользователь
Имя программы: msedge.exe
Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Возможна неправомерная загрузка ПО
Название: https://absoluteroute.com/bens/vinos.js?24105&u=16628886042292839294&a=0.30646717841474325
Степень угрозы: Высокая

 

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: msedge.exe
Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: sync.s13.icontextdev.ru
Причина: Недопустимое имя сертификата.  Имя не включено в список разрешенных или явно исключено из него. 

 

Тип: Возможна неправомерная загрузка ПО - это срабатывает только в одном браузере M Edge. Удалял папку Temp. стирал куки, отключал расширения в Edge - нет эффекта..

Проверил KWRT и Cureit -найденное удалил.. Проверил Avtologgerом-вот отчет.. Прощу помочь!

 

CollectionLog-2022.09.19-11.02.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

MediaGet

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Продолжаем:

 

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

1.Все сделал по пунктам. Отчет

AdwCleaner[C01].txt

перезагрузил..

2.Логи Farbar

3. Вопрос. Нужно ли останавливать KTS на время проверок? или необязательно? во избехание конфликтов и т.д.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Да, желательно останавливать и, как правило, мы об этом сообщаем.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1473094942-654797265-3760534968-1001\...\MountPoints2: {bc323697-9791-11ec-b88a-485b39c61710} - "I:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1473094942-654797265-3760534968-1001\...\MountPoints2: {bc3237bc-9791-11ec-b88a-485b39c61710} - "I:\HiSuiteDownLoader.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-1473094942-654797265-3760534968-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    CustomCLSID: HKU\S-1-5-21-1473094942-654797265-3760534968-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> отсутствует путь к файлу
    Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  Нет файла
    Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  Нет файла
    Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    Toolbar: HKU\S-1-5-21-1473094942-654797265-3760534968-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Поскольку Edge сделан на движке Chrome, дальнейшие рекомендации будут для Хрома, а вы их применяйте в Эдж.

 

Сделайте Сброс настроек браузера Chrome.

 

Если не поможет, Отключите синхронизацию в Chrome и проверьте.

Ссылка на сообщение
Поделиться на другие сайты

После сброса настроек KTS  молчит. Перезагружал- тишина.. Похоже, вопрос закрыт.

Большое спасибо за помощь. Можно вкратце, откуда у проблемы ноги росли? И еще,  FRST и AdwCleaner  можно удалять?

Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, vplayer сказал:

откуда у проблемы ноги росли?

Мы почистили адварь, скорее всего оттуда.

 

27 минут назад, vplayer сказал:

FRST и AdwCleaner  можно удалять?

Да, таким образом:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.17.4580 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.00 (x64) v.22.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 6.5 v.6.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2147.16 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
AIMP v.v4.60.2180, 25.03.2020 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.7.5.1027 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Razer Cortex v.9.18.7.1508 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
YTD Video Downloader 5.9.18.8 v.5.9.18.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.3.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

На перечисленное обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ArturReich
      От ArturReich
      При печатании в адресной строке rutor. info касперский выдает уведомление

      Event: Download denied
      User: *****
      User type: Active user
      Application name: chrome.exe
      Application path: C:\Program Files\Google\Chrome\Application
      Component: Web Anti-Virus
      Result description: Blocked
      Type: Probability of unauthorized software download
      Name: https://absoluteroute.com/bens/vinos.js?24105&u=null&a=0.886807717754271
      Threat level: High

      Или при заходе на сам сайт начинает мигать страница(загружаются и выгружаются скрипты как я понял) и Касперский выдает такой же репорт
      Проверял Adw-шкой - 0
      Проверил FRST - понял что там есть расширение у меня в хроме, которого на самом-то деле у меня нет, но как правильно fix написать я не знаю, как я понимаю нужно только его удалить и все будет отлично.

      Удивительно как эта хрень попала на мой комп, хотя у меня стоит лицензионный касперский, по ходу Хром уж очень дырявый

      Буду благодарен за помощь!
      FRST.txt Addition.txt
    • D_S
      От D_S
      Привет добрый специалист.
      Месяца 2 назад я схлопотал вирус по ссылке.
      Попытался решить проблему но проблема оставалась
      касперский оповещал о попытках скачивания ПО с сайта [ссылка]
       
       
      CollectionLog-2022.04.27-14.01.zip
    • ahawk
      От ahawk
      Добрый день. В продолжени темы
      Собрал лог на стационарном компьютере. Лог во вложении.
      CollectionLog-2022.01.15-14.44.zip
    • FedorTupovat
      От FedorTupovat
      1)Проводил скан KVR,все чисто
      2)HiJackThis выдал ошибку и закрылся
      Доп.Сведения
      1)появляется BSOD с ошибкой ERROR_VIDEO_MANAGEMENT_INTERNAL(без инверсии цветов итд)
      2)Раз в месяц кидает на не очень хорошие сайты с ОЧЕНЬ длинными адресами
      3)Ноутбук не мой,но обладатель говорит что проблема возникла после установки кряка "Adobe premier pro"
      4)На тот момент антивирусом был "ESET NODE-32",он не обнаружил угрозы 
      5)Файл был большим (~1gb)
      6)Имя пользователя "Fedor"
      7)После открытия "установщика" он не открылся и файл никак нельзя было удалить
      8)после перезагрузки он исчез
      9)после taskmgr /0 /startup   нагрузка на проц значительно уменьшилась
      CollectionLog-2020.12.25-10.06.zip
    • XspulaeX
      От XspulaeX
      C каждым запуском пк он виснул и т д и запускал cmd и иногда powershel и все закрывалось Решил удолить VKDJ спустя 1 минут он опять запустил cmd и опять его закинул на рабочий стол
      Решил полазить по сайтам и нашел что надо его е**ть через панель управления
      Ну удолил его презапустил пк теперь cmd не пропадает и написано было  C:\Windows\system32>C:\\ProgramData\\malldir\\3564.exe e C:\\ProgramData\\malldir\\BbdNLhTBbTdtxBT -p1111 -y -oC:\\ProgramData\\malldir

      7-Zip (a) [32] 16.04 : Copyright (c) 1999-2016 Igor Pavlov : 2016-10-04

      Scanning the drive for archives:
      1 file, 1141544 bytes (1115 KiB)

      Extracting archive: C:\\ProgramData\\malldir\\BbdNLhTBbTdtxBT

      Path = C:\\ProgramData\\malldir\\BbdNLhTBbTdtxBT
      Type = zip
      Physical Size = 1141544

      Everything is Ok

      Files: 2
      Size: 3288501
      Compressed: 1141544

      C:\Windows\system32>start C:\\ProgramData\\malldir\Taskscheduler.exe -ch
      Отказано в доступе.

      C:\Windows\system32>del C:\\ProgramData\\malldir\\3564.exe /Q
      Указан недопустимый путь.

      C:\Windows\system32>SCHTASKS /Delete /TN name5647 /F
      ^C^C^C^CУСПЕХ. Запланированная задача "name5647" была успешно удалена.
      Завершить выполнение пакетного файла [Y(да)/N(нет)]?
      Что это за коды или что это помогите фиксануть!              
×
×
  • Создать...