Перейти к содержанию

Попытки открыть вредоносную ссылку и скачать некое ПО от неизвестной программы.


Рекомендуемые сообщения

Антивирус стал ругаться на попытку открытия вредоносной ссылки, хотя я работал в других окнах, к браузеру не прикасался.

 

Потом эти попытки повторились, происходят при открытом хроме (на скриншоте).

 

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: s.gif?userid=&media=banner
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: s.gif?userid=&media=banner
Путь к объекту: px802lp6y0yna586vss.crossmh.ru
Причина: Облачная защита

 

Пока пишу пост - произошла попытка скачать некое ПО.

 

Событие: Загрузка остановлена
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Возможна неправомерная загрузка ПО
Название: https://px802lp6y0yna586vss.crossmh.ru/s.gif?userid=&media=banner
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: s.gif?userid=&media=banner
Путь к объекту: https://px802lp6y0yna586vss.crossmh.ru
Причина: Облачная защита

 

Помогите пожалуйста, что это может быть. Перед этим в комп вставлял якобы новую флешку.

 

otkssilk1.jpg

Изменено пользователем Grohr
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Вчера перепаниковал и снёс хром, удалил всё из AppData и почистил реестр от всего что с ним было связано. За сегодня проблема повторялась только когда заходил в эту тему, ощущение что веб-антивирус ругался на наличие этих ссылок на странице.

 

Базу AVZ пополнил, размер был меньше 250 мб.

 

AdwCleaner запустил, проверку провёл, отчёт прикрепляю.

 

 

 

AdwCleaner[S00].txt

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, Grohr сказал:

ощущение что веб-антивирус ругался на наличие этих ссылок на странице.

У меня тоже так реагирует.

 

Продолжим:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
    AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
    AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
    AlternateDataStreams: C:\ProgramData\ntuser.dat{f0ab45c6-ad46-11ed-848c-346f2420222e}.TM.blf:3332678AED [3442]
    AlternateDataStreams: C:\ProgramData\ntuser.dat{f0ab45c6-ad46-11ed-848c-346f2420222e}.TMContainer00000000000000000001.regtrans-ms:4B3C2E2C87 [3442]
    AlternateDataStreams: C:\ProgramData\ntuser.dat{f0ab45c6-ad46-11ed-848c-346f2420222e}.TMContainer00000000000000000002.regtrans-ms:93863E3830 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
    FirewallRules: [{8E068C97-8337-4EA4-9062-D60B444132F9}] => (Allow) LPort=32683
    FirewallRules: [{6165CDB9-997C-42EA-8142-0391E079E2E9}] => (Allow) LPort=26822
    FirewallRules: [{D03D62A8-1AD8-4740-BD41-9F64FFD3F2A9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Victoria 3\launcher\dowser.exe => Нет файла
    FirewallRules: [{A28EB4D4-987F-417E-A9E3-4D26047D3DDC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Victoria 3\launcher\dowser.exe => Нет файла
    FirewallRules: [TCP Query User{92B40186-0B15-4E73-8CFA-DBA142DDDDA4}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [UDP Query User{6A98F965-FE19-4179-9283-291C09CF6F7F}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [{24B4722E-58FC-42BF-82B6-163C52E612FC}] => (Block) D:\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [{0A7A486E-9034-466E-BD79-31A7D257709D}] => (Block) D:\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [{E6C2C6C9-C3C8-4785-A42F-39E0EE0B9E6E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Total War WARHAMMER II\launcher\launcher.exe => Нет файла
    FirewallRules: [{F911944A-48EE-4241-8BCA-FE9F2460BF3E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Total War WARHAMMER II\launcher\launcher.exe => Нет файла
    FirewallRules: [{C931A5BA-903C-491C-B93F-E43026165DCF}] => (Allow) C:\Users\Хаус\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
    FirewallRules: [{39057F89-E581-4C2A-919B-740380AE5682}] => (Allow) C:\Users\Хаус\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
    startbatch:
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    endbatch:
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Хорошо, в завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Andrey656560
      От Andrey656560
      Здравствуйте, столкнулся с вредоносным ПО.  Сегодня я скачал Kaspersky Premium  и начал полную проверку, и обнаружилось что-то вредоносное в Объекте: Windriver.cmd. Вредносное ПО, который обнаружил это: not-a-virus:HEUR:RiskTool.BAT.Alien.gen Путь C:\ProgramData\Microsoft. Решил я закинуть  этот объект в VirusTotal, а там уже обнаружилось 5 вредоносных ПО: 1 PowerShell/Kryptik.HJ!tr 2Trojan:BAT/Alien.RPA!MTB 3 Not-a-virus:HEUR:RiskTool.BAT.Alien.gen. Удалить не получается(не понимаю
    • Как_тус
      От Как_тус
      Здравствуйте, столкнулся с такой же проблемой, я так понимаю для каждого свой персональный код? Прикрепляю отчёт:
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP-VS9J8JP\Дети
      Тип пользователя: Активный пользователь
      Имя программы: uTorrentPro.exe
      Путь к программе: C:\Program Files\uTorrentPro
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: http://w.apitorrent.com/ws
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Попытки открыть вредоносную ссылку и скачать некое ПО от неизвестной программы.  
    • Filip2p
      От Filip2p
      Здравствуйте. Вот уже продолжительное время борюсь с скрытой угрозой MEM: Trojan.Win32.SEPEH.gen. Пользуюсь Kspesky free. Переодически антивирус находит вирус, пробовал разные метоты лечения. Но вирус востанавливается и вновь съедает ресурсы ПК. Краем глаза, иногда, замечаю как на долю секунды открывается командная строка (предположение) и исчезает. Пользуюсь ноутбуком, в простое куллера шумят на всю, стоит активировать ноутбук шум прекращается. Просканировал пк Farbar может пригодиться, прежде чем создавать тему, читал форум, без помощи специалистов наврядли что получится. 
      Addition.txt FRST.txt
    • Viktor77
      От Viktor77
      Здраствуйте недавно появилась данная проблема:

      Пользователь: LAPTOP-V8IT4LR6\1661322
      Тип пользователя: Активный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 
      Путь к объекту: 
      Причина: Облачная защита

      Появляется данное сообщение каждый раз после ввода чего-либо в google.
      Вопрос как решить данную проблему?
    • eliyyahoo
      От eliyyahoo
      Добрый день!
      В корпоративной системе поддержки пользователей мне не могут помочь уже 2 месяца.
      KES 11 определяет программный комплекс для расчета систем тягового электроснабжения "КОРТЭС" (разработка АО "ВНИИЖТ") как вредоносное ПО и удаляет его программные модули без предупреждения.
      Возможно ли внести указанный программный комплекс в исключения как доверенное ПО и распространить через обновления для пользователей ОАО "РЖД"?
      Спасибо!
       
×
×
  • Создать...