Перейти к содержанию

[РЕШЕНО] остановлен переход на вредоносный сайт


tankkiller

Рекомендуемые сообщения

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и укажите ссылку на скачивание в своём следующем сообщении.

2)

Проверьте эти файлы на virustotal

C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Ссылка на комментарий
Поделиться на другие сайты

Файл и папку

C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001
C:\Users\ILYA\AppData\Local\Programs\asevcuk865\

заархивируйте в zip архив с паролем virus . Полученный архив закачайте на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и пришлите ссылку мне в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001', '');
 QuarantineFileF('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi', '64');
 DeleteFile('C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001');
 DeleteFileMask('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\', '*', true);
 DeleteDirectory('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\');
ExecuteSysClean;
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

 

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

10 часов назад, tankkiller сказал:

отправил

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 d842acf714.msi - Trojan-Dropper.VBS.Agent.pb
 Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001 - Trojan.Script.Starter.n
 Его детектирование будет включено в очередное обновление антивирусных баз.
 Благодарим за оказанную помощь.

 

Для повторной диагностики запустите снова AutoLogger.

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, tankkiller сказал:

Повторный лог вроде бы чисто все

такое чувство, что скрипт вообще не выполняли. Выполните его ещё раз и свежий лог после скрипта.

22 часа назад, regist сказал:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

И это сделали?

Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O22 - Tasks: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask - {E7ED314F-2816-4C26-AEB5-54A34D02404C} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackupTask - {60A4C78C-E2B8-4E6E-876F-DA203B02C05E} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)

 

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

Ссылка на комментарий
Поделиться на другие сайты

Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
Mozilla Firefox (x64 ru) v.106.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

+

Цитата

WinRAR 6.11 (64-bit) v.6.11.0
WinRAR 5.40 v.5.40

старую версию винрар-а советую удалить.

Ссылка на комментарий
Поделиться на другие сайты

Можно например так https://www.safezone.cc/threads/kak-deinstallirovat-skrytuju-programmu-cherez-hijackthis.38311/

Или через какой-то менеджер установок программ.

 

Либо можете собрать логи FRST по инструкции ниже, сделаем "видимой".

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • grammer91
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • Mrak
      От Mrak
      Kaspersky Premium при посещении сайтов судов Российской Федерации ВСЕГДА (каждый день, при посещении каждого сайта суда) выдаёт следующее сообщение:

      Учитывая, что я могу за день открыть множество разных сайтов, мне приходится делать море дополнительных кликов мышкой, чтобы всё же перейти на сайт.
      Подскажите, как отключить это уведомление, либо убрать проверку сертификатов для наших судов? 
      Посещают малодушные мысли, что лучше программу удалить, чем продолжать терпеть такое её поведение.
      Особенности российских сертификатов известны уже не один год, можно же подстроиться, раз уж продукт для пользователей России официально работает?
    • hu553in
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • dexter
      От dexter
      Всем привет.
       
      В долгих муках принял решение о переходе на винду-11. Для чего - не надо спрашивать. Так захотелось.
       
      Интересно, у кого какой процессор установлен ? И попутно - какая материнка под него ?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Boltov_
      От Boltov_
      Захотел проверить свой компьютер на наличие вирусного ПО, и заметил что не один сайт с ативирусниками не открывается, скачал доктор веб, просканил все, и заметил что некторые файлы не удаляются, и вылезает самораспаковывающейся архив.
       
      АвтоЛоггер не запускается даже в безопастном режиме, и даже если его переименовать.


×
×
  • Создать...