[РЕШЕНО] Загрузка остановлена вредоносный объект not-a-virus:HEUR:A...

[Дмитрий_Са]

Здравствуйте!

У меня постоянно в правом нижнем углу появляются два сообщения.

 

Первое сообщение:  Загрузка остановлена вредоносный объект not-a-virus:HEUR:A...  (скриншот прилагается)

 

Второе сообщение:  Загрузка остановлена....  (скриншот сделать не успел). В отчетах следующий текст:

 

"Событие: Загрузка остановлена
Пользователь: DESKTOP-083RI19\Я
Тип пользователя: Активный пользователь
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Возможна неправомерная загрузка ПО
Название: [скрыто]
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 01302331659940.png
Путь к объекту: [скрыто]
Причина: Облачная защита"

 

Периодичность не скажу, они могут появляться каждые 5 минут, а иногда через 30 минут, а иногда их не бывает по несколько часов.  Пытался восстановить систему до этого момента когда данные сообщения еще не появлялись. Но не помогло.

 

Скачал:

• AdwCleaner (by Malwarebytes) 
•  Farbar Recovery Scan Tool

Отчеты прикладываю.

Addition.txt FRST.txt AdwCleaner[S02].txt

Изменено 23 февраля, 2023 пользователем mike 1

[mike 1]

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Дмитрий_Са]

5 минут назад, mike 1 сказал:

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

CollectionLog-2023.02.23-21.09.zip

[mike 1]

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).
 

O1 - Hosts: 0.0.0.0 apps.corel.com
O1 - Hosts: 0.0.0.0 mc.corel.com
O1 - Hosts: 0.0.0.0 origin-mc.corel.com
O1 - Hosts: 0.0.0.0 iws.corel.com
O22 - BITS Job: (download) {49F109A9-2178-4C88-A010-A374D75AB245} - https://soft.export.yandex.ru/status.xml?stat=dayuse&bitness=64&brandID=yandex-custo&browser_bitness=64&build=custo&clid=2378379-20&client_id=11988699039069923052&df=1&distr_yandexuid=4613580451582144265&eid=BadTooLongExp.1834&install_type=2&installed=22.11.0.2500&ld=194&machine_id=47e80082324e8fad867c068623748053&os=win10&partner_id=18105&pok=1&searchbandapp=0&stats_send_status=1&sv=22.11&ud=5&ui=EC0FD79C-2C55-48D4-A383-E4B5D8C1CD85&user_agent=Mozilla%2F5.0+(Windows+NT+10.0%3B+Win64%3B+x64)+AppleWebKit%2F537.36+(KHTML%2C+like+Gecko)+Chrome%2F106.0.0.0+YaBrowser%2F22.11.0.2500+Yowser%2F2.5+Safari%2F537.36&ver=22.11.0.2500&win_version=10.0.19044&yandexuid=3531871991653053301&yasoft=yabrowser -> C:\Users\4483~1\AppData\Local\Temp\Yandex_Browser_BITS_1664_1790899275\response - 'C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe' '"C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --broupdater-stat-bits --broupdater-stat-name=dayuse --bits_job_guid={49F109A9-2178-4C88-A010-A374D75AB245}'
O22 - BITS Job: (download) {BF82AB49-5CC5-4A0D-A5A4-E78E189CEB53} - https://soft.export.yandex.ru/status.xml?stat=dayuse&bitness=64&brandID=yandex-custo&browser_bitness=64&build=custo&clid=2378379-20&client_id=11988699039069923052&df=1&distr_yandexuid=4613580451582144265&eid=BadTooLongExp.1834&install_type=2&installed=22.11.0.2500&ld=195&machine_id=47e80082324e8fad867c068623748053&os=win10&partner_id=18105&pok=1&searchbandapp=0&stats_send_status=1&sv=22.11&ud=6&ui=EC0FD79C-2C55-48D4-A383-E4B5D8C1CD85&user_agent=Mozilla%2F5.0+(Windows+NT+10.0%3B+Win64%3B+x64)+AppleWebKit%2F537.36+(KHTML%2C+like+Gecko)+Chrome%2F106.0.0.0+YaBrowser%2F22.11.0.2500+Yowser%2F2.5+Safari%2F537.36&ver=22.11.0.2500&win_version=10.0.19044&yandexuid=3531871991653053301&yasoft=yabrowser -> C:\Users\4483~1\AppData\Local\Temp\Yandex_Browser_BITS_1664_834959469\response - 'C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe' '"C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --broupdater-stat-bits --broupdater-stat-name=dayuse --bits_job_guid={BF82AB49-5CC5-4A0D-A5A4-E78E189CEB53}'

 

Сделайте новые логи FRST.txt, Addition.txt

[Дмитрий_Са]

Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   CloseProcesses:
   virustotal: C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
   Hosts:
   C:\Users\Я\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
   C:\Users\Я\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jijpmedkhfbbkfclnaifdombnehohknb
   Edge HKU\S-1-5-21-903340761-818407883-2032140621-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
   CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
   C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\enegjkbbakeegngfapepobipndnebkdk
   C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\gojhcdgcpbpfigcaejpfhfegekdgiblk
   C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmoiomgmchbpihhdpabemajcbjpcijk
   C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\nnehhdaepjnlomcjfefceljakhiknnpg
   StartMenuInternet: (HKU\S-1-5-21-903340761-818407883-2032140621-1001) Yandex.EW5JI3EXMGYJ4ZCBHZ2U24RJEA - "C:\Users\Я\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"
   Folder: C:\Users\Я\AppData\Roaming\com.glauncher.w18
   EmptyTemp:

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[Дмитрий_Са]

Fixlog.txt

[mike 1]

Что с проблемой?

[Дмитрий_Са]

Пока тихо. Думаю через  пару дней тему можно закрыть. Я пока понаблюдаю, если сообщения вновь появятся, опишу тут. Если меня не будет - значит проблема решена. 

Спасибо за помощь. 

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда  и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[mike 1]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".