Попытки открыть вредоносную ссылку и скачать некое ПО от неизвестной программы.

[Grohr]

Антивирус стал ругаться на попытку открытия вредоносной ссылки, хотя я работал в других окнах, к браузеру не прикасался.

 

Потом эти попытки повторились, происходят при открытом хроме (на скриншоте).

 

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название:
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: s.gif?userid=&media=banner
Путь к объекту:
Причина: Облачная защита

 

Пока пишу пост - произошла попытка скачать некое ПО.

 

Событие: Загрузка остановлена
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Возможна неправомерная загрузка ПО
Название: https://px802lp6y0yna586vss.crossmh.ru/s.gif?userid=&media=banner
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: s.gif?userid=&media=banner
Путь к объекту: https://px802lp6y0yna586vss.crossmh.ru
Причина: Облачная защита

 

Помогите пожалуйста, что это может быть. Перед этим в комп вставлял якобы новую флешку.

 

Изменено 20 ноября, 2023 пользователем Grohr

[Grohr]

Файл с логами прикладываю, извиняюсь что сразу не сделал.

CollectionLog-2023.11.20-17.31.zip

[Sandor]

Здравствуйте!

 

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Grohr]

Вчера перепаниковал и снёс хром, удалил всё из AppData и почистил реестр от всего что с ним было связано. За сегодня проблема повторялась только когда заходил в эту тему, ощущение что веб-антивирус ругался на наличие этих ссылок на странице.

 

Базу AVZ пополнил, размер был меньше 250 мб.

 

AdwCleaner запустил, проверку провёл, отчёт прикрепляю.

 

 

 

AdwCleaner[S00].txt

[Grohr]

Проблема вернулась ровно как и была, пытается открыть какой то баннер или рекламу.

[Sandor]

14 часов назад, Grohr сказал:

ощущение что веб-антивирус ругался на наличие этих ссылок на странице.

У меня тоже так реагирует.

 

Продолжим:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Grohr]

Сделано.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{f0ab45c6-ad46-11ed-848c-346f2420222e}.TM.blf:3332678AED [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{f0ab45c6-ad46-11ed-848c-346f2420222e}.TMContainer00000000000000000001.regtrans-ms:4B3C2E2C87 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{f0ab45c6-ad46-11ed-848c-346f2420222e}.TMContainer00000000000000000002.regtrans-ms:93863E3830 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
  FirewallRules: [{8E068C97-8337-4EA4-9062-D60B444132F9}] => (Allow) LPort=32683
  FirewallRules: [{6165CDB9-997C-42EA-8142-0391E079E2E9}] => (Allow) LPort=26822
  FirewallRules: [{D03D62A8-1AD8-4740-BD41-9F64FFD3F2A9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Victoria 3\launcher\dowser.exe => Нет файла
  FirewallRules: [{A28EB4D4-987F-417E-A9E3-4D26047D3DDC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Victoria 3\launcher\dowser.exe => Нет файла
  FirewallRules: [TCP Query User{92B40186-0B15-4E73-8CFA-DBA142DDDDA4}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
  FirewallRules: [UDP Query User{6A98F965-FE19-4179-9283-291C09CF6F7F}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
  FirewallRules: [{24B4722E-58FC-42BF-82B6-163C52E612FC}] => (Block) D:\hearthstone\hearthstone.exe => Нет файла
  FirewallRules: [{0A7A486E-9034-466E-BD79-31A7D257709D}] => (Block) D:\hearthstone\hearthstone.exe => Нет файла
  FirewallRules: [{E6C2C6C9-C3C8-4785-A42F-39E0EE0B9E6E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Total War WARHAMMER II\launcher\launcher.exe => Нет файла
  FirewallRules: [{F911944A-48EE-4241-8BCA-FE9F2460BF3E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Total War WARHAMMER II\launcher\launcher.exe => Нет файла
  FirewallRules: [{C931A5BA-903C-491C-B93F-E43026165DCF}] => (Allow) C:\Users\Хаус\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
  FirewallRules: [{39057F89-E581-4C2A-919B-740380AE5682}] => (Allow) C:\Users\Хаус\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  endbatch:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Grohr]

Сделано.

Продолжаю наблюдение за активностью этой фигни.

Fixlog.txt

[Grohr]

По наблюдениям - с проблемой спраились, уже неделю не всплывает, спасибо большое!

[Sandor]

Хорошо, в завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.