Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Загрузка остановлена вредоносный объект not-a-virus:HEUR:A...

Дмитрий_Са

Автор Дмитрий_Са
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Дмитрий_Са Новичок

Дмитрий_Са

Опубликовано
Опубликовано (изменено)

Здравствуйте!

У меня постоянно в правом нижнем углу появляются два сообщения.

 

Первое сообщение:  Загрузка остановлена вредоносный объект not-a-virus:HEUR:A...  (скриншот прилагается)

 

Второе сообщение:  Загрузка остановлена....  (скриншот сделать не успел). В отчетах следующий текст:

 

"Событие: Загрузка остановлена
Пользователь: DESKTOP-083RI19\Я
Тип пользователя: Активный пользователь
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Возможна неправомерная загрузка ПО
Название: [скрыто]
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 01302331659940.png
Путь к объекту: [скрыто]
Причина: Облачная защита"

 

Периодичность не скажу, они могут появляться каждые 5 минут, а иногда через 30 минут, а иногда их не бывает по несколько часов.  Пытался восстановить систему до этого момента когда данные сообщения еще не появлялись. Но не помогло.

 

Скачал:

Отчеты прикладываю.

76655.jpg

Addition.txt FRST.txt AdwCleaner[S02].txt

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий_Са Новичок

Дмитрий_Са

Опубликовано
  • Автор
Опубликовано
5 минут назад, mike 1 сказал:

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

CollectionLog-2023.02.23-21.09.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
  

O1 - Hosts: 0.0.0.0 apps.corel.com
O1 - Hosts: 0.0.0.0 mc.corel.com
O1 - Hosts: 0.0.0.0 origin-mc.corel.com
O1 - Hosts: 0.0.0.0 iws.corel.com
O22 - BITS Job: (download) {49F109A9-2178-4C88-A010-A374D75AB245} - https://soft.export.yandex.ru/status.xml?stat=dayuse&bitness=64&brandID=yandex-custo&browser_bitness=64&build=custo&clid=2378379-20&client_id=11988699039069923052&df=1&distr_yandexuid=4613580451582144265&eid=BadTooLongExp.1834&install_type=2&installed=22.11.0.2500&ld=194&machine_id=47e80082324e8fad867c068623748053&os=win10&partner_id=18105&pok=1&searchbandapp=0&stats_send_status=1&sv=22.11&ud=5&ui=EC0FD79C-2C55-48D4-A383-E4B5D8C1CD85&user_agent=Mozilla%2F5.0+(Windows+NT+10.0%3B+Win64%3B+x64)+AppleWebKit%2F537.36+(KHTML%2C+like+Gecko)+Chrome%2F106.0.0.0+YaBrowser%2F22.11.0.2500+Yowser%2F2.5+Safari%2F537.36&ver=22.11.0.2500&win_version=10.0.19044&yandexuid=3531871991653053301&yasoft=yabrowser -> C:\Users\4483~1\AppData\Local\Temp\Yandex_Browser_BITS_1664_1790899275\response - 'C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe' '"C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --broupdater-stat-bits --broupdater-stat-name=dayuse --bits_job_guid={49F109A9-2178-4C88-A010-A374D75AB245}'
O22 - BITS Job: (download) {BF82AB49-5CC5-4A0D-A5A4-E78E189CEB53} - https://soft.export.yandex.ru/status.xml?stat=dayuse&bitness=64&brandID=yandex-custo&browser_bitness=64&build=custo&clid=2378379-20&client_id=11988699039069923052&df=1&distr_yandexuid=4613580451582144265&eid=BadTooLongExp.1834&install_type=2&installed=22.11.0.2500&ld=195&machine_id=47e80082324e8fad867c068623748053&os=win10&partner_id=18105&pok=1&searchbandapp=0&stats_send_status=1&sv=22.11&ud=6&ui=EC0FD79C-2C55-48D4-A383-E4B5D8C1CD85&user_agent=Mozilla%2F5.0+(Windows+NT+10.0%3B+Win64%3B+x64)+AppleWebKit%2F537.36+(KHTML%2C+like+Gecko)+Chrome%2F106.0.0.0+YaBrowser%2F22.11.0.2500+Yowser%2F2.5+Safari%2F537.36&ver=22.11.0.2500&win_version=10.0.19044&yandexuid=3531871991653053301&yasoft=yabrowser -> C:\Users\4483~1\AppData\Local\Temp\Yandex_Browser_BITS_1664_834959469\response - 'C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe' '"C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --broupdater-stat-bits --broupdater-stat-name=dayuse --bits_job_guid={BF82AB49-5CC5-4A0D-A5A4-E78E189CEB53}'

 

Сделайте новые логи FRST.txt, Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
virustotal: C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Hosts:
C:\Users\Я\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
C:\Users\Я\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jijpmedkhfbbkfclnaifdombnehohknb
Edge HKU\S-1-5-21-903340761-818407883-2032140621-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\enegjkbbakeegngfapepobipndnebkdk
C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\gojhcdgcpbpfigcaejpfhfegekdgiblk
C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmoiomgmchbpihhdpabemajcbjpcijk
C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\nnehhdaepjnlomcjfefceljakhiknnpg
StartMenuInternet: (HKU\S-1-5-21-903340761-818407883-2032140621-1001) Yandex.EW5JI3EXMGYJ4ZCBHZ2U24RJEA - "C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"
Folder: C:\Users\Я\AppData\Roaming\com.glauncher.w18
EmptyTemp:



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий_Са Новичок

Дмитрий_Са

Опубликовано
  • Автор
Опубликовано

Пока тихо. Думаю через  пару дней тему можно закрыть. Я пока понаблюдаю, если сообщения вновь появятся, опишу тут. Если меня не будет - значит проблема решена. 

Спасибо за помощь. 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда  и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Bobcheg
      Касперский обнаружил два вредоносных объекта. Вылечить не получается Trojan.Win32.SEPEH и Trojan.Multi.Agent
      Автор Bobcheg
      Добрый день!
      После скачивания книги в с неизвестного сайта  вероятно подцепил эту гадость. Касперский обнаружил угрозу, но лечению она не поддается.

      Addition_12-03-2025 18.15.18.txt FRST_12-03-2025 17.50.07.txt
    • Андрей Тимохин
      not-a-virus:HEUR:AdWare.Script.Generic
      Автор Андрей Тимохин
      Здравствуйте!
      У меня на компьютере вирус. При переходе на некоторые сайты от антивирусника Kaspersky Free появляется сообщение 
       
      Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
      Пользователь: DESKTOP-HA516CQ\Андрей
      Тип пользователя: Инициатор
      Имя приложения: msedge.exe
      Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Интернет-защита
      Описание результата: Обнаружено
      Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
      Название: not-a-virus:HEUR:AdWare.Script.Generic
      Точность: Эвристический анализ
      Степень угрозы: Средняя
      Тип объекта: Файл
      Имя объекта: minute.js?23402&v=3&u=null&a=0.9136341947792097
      Путь к объекту: ссылка на сайт
      MD5 объекта: DFCEA49E5A347438D5986D75836F0BA3
      Причина: Экспертный анализ
      Дата выпуска баз: Вчера, 19.12.2024 19:16:00
       
      и почти сразу же появляется сообщение о приостановке загрузки вредоносного файла
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP-HA516CQ\Андрей
      Тип пользователя: Инициатор
      Имя приложения: msedge.exe
      Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
      Название: not-a-virus:HEUR:AdWare.Script.Generic
      Точность: Эвристический анализ
      Степень угрозы: Средняя
      Тип объекта: Файл
      Имя объекта: minute.js?23402&v=3&u=null&a=0.9136341947792097
      Путь к объекту: ссылка на сайт
      MD5 объекта: DFCEA49E5A347438D5986D75836F0BA3
      Причина: Экспертный анализ 
      Дата выпуска баз: Вчера, 19.12.2024 19:16:00 .
       
      Такие сообщения появляются в браузере Edge. Пробовал устанавливать другие браузеры. Они также выводят такие же сообщения.
       
      При проверке компьютера Kaspersky Virus Removal Tool обнаруживает, что некоторые файлы браузера повреждены. 
       
      Как избавиться от этого вируса?
       
    • Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
      Автор Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • Андрей Тимохин
      Сообщения not-a-virus:HEUR:AdWare.Script.Pusher.gen
      Автор Андрей Тимохин
      Здравствуйте!
       
      При переходе на некоторые сайты антивирус Kaspersky Free выдает следующие сообщение:
       
      Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
      Пользователь: DESKTOP-HA516CQ\Андрей
      Тип пользователя: Инициатор
      Имя приложения: msedge.exe
      Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Интернет-защита
      Описание результата: Обнаружено
      Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
      Название: not-a-virus:HEUR:AdWare.Script.Pusher.gen
      Точность: Эвристический анализ
      Степень угрозы: Средняя
      Тип объекта: Файл
      Имя объекта: 13850.js
      Путь к объекту: ссылка на сайт
      MD5 объекта: 179EAE6516B4C9FEFCFE0E7EA9EC6E53
      Причина: Машинное обучение
      Дата выпуска баз: Вчера, 17.02.2025 10:18:00
       
      Чуть позже выдается сообщение об остановке загрузки опасного файла:
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP-HA516CQ\Андрей
      Тип пользователя: Инициатор
      Имя приложения: msedge.exe
      Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
      Название: not-a-virus:HEUR:AdWare.Script.Pusher.gen
      Точность: Эвристический анализ
      Степень угрозы: Средняя
      Тип объекта: Файл
      Имя объекта: 13850.js
      Путь к объекту: ссылка на сайт
      MD5 объекта: 179EAE6516B4C9FEFCFE0E7EA9EC6E53
      Причина: Машинное обучение
      Дата выпуска баз: Вчера, 17.02.2025 10:18:00
       
       
      Я думал, что это сайты заражены, но это не так. Проверял работу этих сайтов на другом компьютере с тем же антивирусом. Подобных сообщений антивирус не выдает. Объясните, пожалуйста, что эти сообщение вообще значат и что нужно сделать, что бы устранить эту угрозу?
       
      По идеи эти сообщения, как я понял, означают, что на сайте есть опасный скрипт и антивирус блокирует его загрузку, но как такое может быть, если на другом компьютере при посещении этих сайтов все чисто.
×
×
  • Создать...