not-a-virus:HEUR:AdWare.Script.Generic

[Андрей Тимохин]

Здравствуйте!

У меня на компьютере вирус. При переходе на некоторые сайты от антивирусника Kaspersky Free появляется сообщение 

 

Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: msedge.exe
Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Интернет-защита
Описание результата: Обнаружено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: minute.js?23402&v=3&u=null&a=0.9136341947792097
Путь к объекту: ссылка на сайт
MD5 объекта: DFCEA49E5A347438D5986D75836F0BA3
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 19.12.2024 19:16:00

 

и почти сразу же появляется сообщение о приостановке загрузки вредоносного файла

 

Событие: Загрузка остановлена
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: msedge.exe
Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: minute.js?23402&v=3&u=null&a=0.9136341947792097
Путь к объекту: ссылка на сайт
MD5 объекта: DFCEA49E5A347438D5986D75836F0BA3
Причина: Экспертный анализ 
Дата выпуска баз: Вчера, 19.12.2024 19:16:00 .

 

Такие сообщения появляются в браузере Edge. Пробовал устанавливать другие браузеры. Они также выводят такие же сообщения.

 

При проверке компьютера Kaspersky Virus Removal Tool обнаруживает, что некоторые файлы браузера повреждены. 

 

Как избавиться от этого вируса?

 

Изменено 19 декабря, 2024 пользователем Андрей Тимохин

[safety]

Соберите необходимые логи согласно правилам.

«Порядок оформления запроса о помощи».

[Андрей Тимохин]

Логи собрал. Прикрепляю к сообщению.

CollectionLog-2024.12.23-00.48.zip

[safety]

Добавьте дополнительно следующие логи и отчеты:

 

1. отчет по обнаружениям и сканированию из Касперского.

 

2. логи FRST (файлы FRST.txt, Addition.txt)

 

3. образ автозапуска в uVS

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Андрей Тимохин]

1. Сканирование Касперским выполнил. Скриншот программы с проверкой прикрепляю. Также прикрепляю отчет. Имя файла с отчетом otchet.txt.

2. Файлы FRST.txt и Addition.txt прикрепляю.

3. Архив с образом автозапуска также прикрепляю.

Addition.txt FRST.txt otchet.txt DESKTOP-HA516CQ_2024-12-24_01-47-05_v4.99.4v x64.7z

[safety]

Судя по отчету антивируса:

Сегодня, 23.12.2024 22:17:51            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-HA516CQ\Андрей    Инициатор

 

По очистке системы в uVS от мусора:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\WFPCAPTURE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

Изменено 24 декабря, 2024 пользователем safety

[Андрей Тимохин]

Файл от программы uVS прикрепляю.

При переходе на некоторые сайты все равно выводятся сообщения от антивирусника.

Появились и новые сообщения. Приведу пример одного из таких сообщений:

 

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя приложения: msedge.exe
Путь к приложению: C:\Program Files (x86)\Microsoft\Edge\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Имя объекта: ссылка на сайт
Причина: Недопустимое имя сертификата. Имя не включено в список разрешенных или явно исключено из него.

2024-12-25_00-12-09_log.txt

[safety]

На некоторые сайты можно вообще не получить доступ. Это работа модуля интернет - защиты.

Не пускать на сайты,которые содержат вредоносный код, нежелательный контент, недействительные/ошибочные сертификаты.

И таких сайтов может быть не некоторое количество, а множественное.

Необходимые вам сайты вы можете добавить в исключения из защиты на собственный риск.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 24 декабря, 2024 пользователем safety

[Андрей Тимохин]

У меня появляется сообщение Обнаружено SSL-соединение c недействительным сертификатом, когда я перехожу на сайт mail.ru. Может ли быть такое, что кто-то может перехватить мои данные почты?

Файл от программы SecurityCheck by glax24 & Severnyj прикрепляю.

SecurityCheck.txt

[safety]

23 минуты назад, Андрей Тимохин сказал:

У меня появляется сообщение Обнаружено SSL-соединение c недействительным сертификатом, когда я перехожу на сайт mail.ru.

Какой браузер используете для входа на сайт mail.ru? Проверьте как отработает вход в других браузерах, например в Яндекс-браузере

 

По возможности, обновите указанное ПО:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.0.10240.17394 Внимание! Скачать обновления

 

Изменено 25 декабря, 2024 пользователем safety

[Андрей Тимохин]

Здравствуйте!

Давно здесь не был. Решил запустить AutoLogger для сборки новых логов. Что-то не запускается. Выводит сообщение об ошибке обновления. Пишет, что возможно нет подключения или файревол заблокировал обновление. Однако подключение к интернету есть. Также я пробовал отключать брандмауэр Windows. Все равно возникает ошибка обновления. Пробовал обновить вручную. Выводится сообщение об ошибке.

 

 

Ошибки с mail ru больше нет. 

 

Также я скачивал себе на компьютер adwcleaner. У меня обнаружены 2 элемента PUP.Option.Legacy. Результат проверки этой программы прикрепляю фото. 

 

Скажите, пожалуйста, что это за элементы и нужно ли их удалять? Я вроде бы ничего рекламного не скачивал себе на компьютер.

 

 

Также в Касперском стали появляться сообщения нового типа:

 

Событие: Загрузка остановлена
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Pusher.gen
Точность: Частично
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: sw.js?sid=14395&utm_source=kd&utm_campaign=341672
Путь к объекту: ссылка на сайт
MD5 объекта: D61A0B6D8BC12AF778391F372AE6C3D2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 16.02.2025 8:14:00

 

 

Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
Пользователь: DESKTOP-HA516CQ\Андрей
Тип пользователя: Инициатор
Имя приложения: chrome.exe
Путь к приложению: C:\Program Files\Google\Chrome\Application
Компонент: Интернет-защита
Описание результата: Обнаружено
Тип: Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:AdWare.Script.Pusher.gen
Точность: Частично
Степень угрозы: Средняя
Тип объекта: Файл
Имя объекта: sw.js?sid=14395&utm_source=kd&utm_campaign=341672
Путь к объекту: ссылка на сайт
MD5 объекта: D61A0B6D8BC12AF778391F372AE6C3D2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 16.02.2025 8:14:00

 

 

Я бы хотел узнать это заражен мой компьютер или это опасный скипт на сайте? Просто на другом компьютере на этих же сайтах такое сообщение не выводится. 

[Андрей Тимохин]

Удалось все таки запустить Автологгер после перезагрузки компьютера. Вот обновленный CollectionLog. Посмотрите его, пожалуйста.

CollectionLog-2025.02.16-20.41.zip

[Sandor]

6 часов назад, Андрей Тимохин сказал:

Скажите, пожалуйста, что это за элементы и нужно ли их удалять?

Нет, не нужно. Это ложное срабатывание на Яндекс браузер.

 

6 часов назад, Андрей Тимохин сказал:

в Касперском стали появляться сообщения нового типа

Возможно это реакция на расширение Хрома - "РуТрекер - официальный плагин (доступ и пр.) 1.0.2"

Попробуйте его отключить (или удалить) и проверить ещё раз.

 

Если не поможет, дополнительно новые логи Farbar:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Андрей Тимохин]

Пробовал удалить расширение. Все равно Касперский выдает сообщения.

 

Логи FRST.txt и Addition.txt прикрепляю.

Addition.txt FRST.txt

[Sandor]

Такие сообщения антивируса появляются при входе на определённый сайт или на любой?

И через какой именно браузер? Проверьте в Microsoft Edge тоже.