Перейти к содержанию
Правила раздела

not-a-virus:HEUR:AdWare.Script.Generic

Андрей Тимохин

Автор Андрей Тимохин
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Андрей Тимохин

Андрей Тимохин

Опубликовано
Опубликовано (изменено)

Здравствуйте!

У меня на компьютере вирус. При переходе на некоторые сайты от антивирусника Kaspersky Free появляется сообщение 

 

Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: msedge.exe
Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Интернет-защита
Описание результата: Обнаружено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: minute.js?23402&v=3&u=null&a=0.9136341947792097
Путь к объекту: ссылка на сайт
MD5 объекта: DFCEA49E5A347438D5986D75836F0BA3
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 19.12.2024 19:16:00

 

и почти сразу же появляется сообщение о приостановке загрузки вредоносного файла

 

Событие: Загрузка остановлена
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: msedge.exe
Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: minute.js?23402&v=3&u=null&a=0.9136341947792097
Путь к объекту: ссылка на сайт
MD5 объекта: DFCEA49E5A347438D5986D75836F0BA3
Причина: Экспертный анализ 
Дата выпуска баз: Вчера, 19.12.2024 19:16:00 .

 

Такие сообщения появляются в браузере Edge. Пробовал устанавливать другие браузеры. Они также выводят такие же сообщения.

 

При проверке компьютера Kaspersky Virus Removal Tool обнаруживает, что некоторые файлы браузера повреждены. 

 

Как избавиться от этого вируса?

 

Изменено пользователем Андрей Тимохин
safety

safety

Опубликовано
Опубликовано

Добавьте дополнительно следующие логи и отчеты:

 

1. отчет по обнаружениям и сканированию из Касперского.

 

2. логи FRST (файлы FRST.txt, Addition.txt)

 

3. образ автозапуска в uVS

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Андрей Тимохин

Андрей Тимохин

Опубликовано
  • Автор
Опубликовано

1. Сканирование Касперским выполнил. Скриншот программы с проверкой прикрепляю. Также прикрепляю отчет. Имя файла с отчетом otchet.txt.

2. Файлы FRST.txt и Addition.txt прикрепляю.

3. Архив с образом автозапуска также прикрепляю.

Рисунок.png

Addition.txt FRST.txt otchet.txt DESKTOP-HA516CQ_2024-12-24_01-47-05_v4.99.4v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету антивируса:

Сегодня, 23.12.2024 22:17:51            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-HA516CQ\Андрей    Инициатор

 

По очистке системы в uVS от мусора:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\WFPCAPTURE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

Изменено пользователем safety
Андрей Тимохин

Андрей Тимохин

Опубликовано
  • Автор
Опубликовано

Файл от программы uVS прикрепляю.

При переходе на некоторые сайты все равно выводятся сообщения от антивирусника.

Появились и новые сообщения. Приведу пример одного из таких сообщений:

 

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя приложения: msedge.exe
Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Имя объекта: ссылка на сайт
Причина: Недопустимое имя сертификата. Имя не включено в список разрешенных или явно исключено из него.

2024-12-25_00-12-09_log.txt

safety

safety

Опубликовано
Опубликовано (изменено)

На некоторые сайты можно вообще не получить доступ. Это работа модуля интернет - защиты.

Не пускать на сайты,которые содержат вредоносный код, нежелательный контент, недействительные/ошибочные сертификаты.

И таких сайтов может быть не некоторое количество, а множественное.

Необходимые вам сайты вы можете добавить в исключения из защиты на собственный риск.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
Андрей Тимохин

Андрей Тимохин

Опубликовано
  • Автор
Опубликовано

У меня появляется сообщение Обнаружено SSL-соединение c недействительным сертификатом, когда я перехожу на сайт mail.ru. Может ли быть такое, что кто-то может перехватить мои данные почты?

Файл от программы SecurityCheck by glax24 & Severnyj прикрепляю.

SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано (изменено)
23 минуты назад, Андрей Тимохин сказал:

У меня появляется сообщение Обнаружено SSL-соединение c недействительным сертификатом, когда я перехожу на сайт mail.ru.

Какой браузер используете для входа на сайт mail.ru? Проверьте как отработает вход в других браузерах, например в Яндекс-браузере

 

По возможности, обновите указанное ПО:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.0.10240.17394 Внимание! Скачать обновления

 

Изменено пользователем safety
  • 1 месяц спустя...
Андрей Тимохин

Андрей Тимохин

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Давно здесь не был. Решил запустить AutoLogger для сборки новых логов. Что-то не запускается. Выводит сообщение об ошибке обновления. Пишет, что возможно нет подключения или файревол заблокировал обновление. Однако подключение к интернету есть. Также я пробовал отключать брандмауэр Windows. Все равно возникает ошибка обновления. Пробовал обновить вручную. Выводится сообщение об ошибке.

 

.thumb.png.abbdf9c83ea2a4e33aaaca238f29fbe3.png

 

Ошибки с mail ru больше нет. 

 

Также я скачивал себе на компьютер adwcleaner. У меня обнаружены 2 элемента PUP.Option.Legacy. Результат проверки этой программы прикрепляю фото. 

2.thumb.png.5562493282ae762448f7eb79e42ad8f3.png

 

Скажите, пожалуйста, что это за элементы и нужно ли их удалять? Я вроде бы ничего рекламного не скачивал себе на компьютер.

 

 

Также в Касперском стали появляться сообщения нового типа:

 

Событие: Загрузка остановлена
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Pusher.gen
Точность: Частично
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: sw.js?sid=14395&utm_source=kd&utm_campaign=341672
Путь к объекту: ссылка на сайт
MD5 объекта: D61A0B6D8BC12AF778391F372AE6C3D2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 16.02.2025 8:14:00

 

 

Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
Компонент: Интернет-защита
Описание результата: Обнаружено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Pusher.gen
Точность: Частично
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: sw.js?sid=14395&utm_source=kd&utm_campaign=341672
Путь к объекту: ссылка на сайт
MD5 объекта: D61A0B6D8BC12AF778391F372AE6C3D2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 16.02.2025 8:14:00

 

 

Я бы хотел узнать это заражен мой компьютер или это опасный скипт на сайте? Просто на другом компьютере на этих же сайтах такое сообщение не выводится. 

Андрей Тимохин

Андрей Тимохин

Опубликовано
  • Автор
Опубликовано

Удалось все таки запустить Автологгер после перезагрузки компьютера. Вот обновленный CollectionLog. Посмотрите его, пожалуйста.

CollectionLog-2025.02.16-20.41.zip

Sandor

Sandor

Опубликовано
Опубликовано
6 часов назад, Андрей Тимохин сказал:

Скажите, пожалуйста, что это за элементы и нужно ли их удалять?

Нет, не нужно. Это ложное срабатывание на Яндекс браузер.

 

6 часов назад, Андрей Тимохин сказал:

в Касперском стали появляться сообщения нового типа

Возможно это реакция на расширение Хрома - "РуТрекер - официальный плагин (доступ и пр.) 1.0.2"

Попробуйте его отключить (или удалить) и проверить ещё раз.

 

Если не поможет, дополнительно новые логи Farbar:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Андрей Тимохин

Андрей Тимохин

Опубликовано
  • Автор
Опубликовано

Пробовал удалить расширение. Все равно Касперский выдает сообщения.

 

Логи FRST.txt и Addition.txt прикрепляю.

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Такие сообщения антивируса появляются при входе на определённый сайт или на любой?

И через какой именно браузер? Проверьте в Microsoft Edge тоже.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...