[РЕШЕНО] остановлен переход на вредоносный сайт

[tankkiller 0]

Проверка компьютера не находит вредоноса. Но постоянно KIS блокирует переход на вредоносный сайт.

CollectionLog-2022.11.01-18.33.zip

[regist 617]

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и укажите ссылку на скачивание в своём следующем сообщении.

2)

Проверьте эти файлы на virustotal

C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[tankkiller 0]

https://www.virustotal.com/gui/file/cea329cdda7b760c2e9d902ffdf1479b78cc8156da42501206e652ff11fd4581?nocache=1

[regist 617]

Файл и папку

C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001
C:\Users\ILYA\AppData\Local\Programs\asevcuk865\

заархивируйте в zip архив с паролем virus . Полученный архив закачайте на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и пришлите ссылку мне в ЛС.

[tankkiller 0]

отправил

[regist 617]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001', '');
 QuarantineFileF('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi', '64');
 DeleteFile('C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001');
 DeleteFileMask('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\', '*', true);
 DeleteDirectory('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\');
ExecuteSysClean;
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

 

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

10 часов назад, tankkiller сказал:

отправил

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 d842acf714.msi - Trojan-Dropper.VBS.Agent.pb
 Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001 - Trojan.Script.Starter.n
 Его детектирование будет включено в очередное обновление антивирусных баз.
 Благодарим за оказанную помощь.

 

Для повторной диагностики запустите снова AutoLogger.

[tankkiller 0]

Повторный лог вроде бы чисто все

CollectionLog-2022.11.02-12.08.zip

[regist 617]

6 часов назад, tankkiller сказал:

Повторный лог вроде бы чисто все

такое чувство, что скрипт вообще не выполняли. Выполните его ещё раз и свежий лог после скрипта.

22 часа назад, regist сказал:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

И это сделали?

[tankkiller 0]

безопасные файлы ранее вложил. скрипт выполнил, лог вложил

CollectionLog-2022.11.03-19.16.zip

[regist 617]

"Пофиксите" в HijackThis:

O22 - Tasks: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask - {E7ED314F-2816-4C26-AEB5-54A34D02404C} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackupTask - {60A4C78C-E2B8-4E6E-876F-DA203B02C05E} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)

 

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

[tankkiller 0]

прикрепил

SecurityCheck.txt

[regist 617]

Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
Mozilla Firefox (x64 ru) v.106.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

+

Цитата

WinRAR 6.11 (64-bit) v.6.11.0
WinRAR 5.40 v.5.40

старую версию винрар-а советую удалить.

[tankkiller 0]

ок, сделаю по списку. Спасибо большое!

[tankkiller 0]

подскажите, пожалуйста, скрытую программу как деинсталлировать?

[regist 617]

Можно например так https://www.safezone.cc/threads/kak-deinstallirovat-skrytuju-programmu-cherez-hijackthis.38311/

Или через какой-то менеджер установок программ.

 

Либо можете собрать логи FRST по инструкции ниже, сделаем "видимой".

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.