Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
 

Цитата

Событие: Переход остановлен
Пользователь: ILYA\sc211
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://i.404.pm/2024/11/16/1731762779-9803.jpeg
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731762779-9803.jpeg
Путь к объекту: https://i.404.pm/2024/11/16
Причина: Облачная защита

Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 

CollectionLog-2025.01.04-00.02.zip

Изменено пользователем Snake200221
Опубликовано

Также не было найдено вирусов при проверке программой Dr.Web Curelt! и Kaspersky Internet Security 

Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
 DeleteSchedulerTask('SecurityHealthSystray');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Опубликовано

После выполнения скрипта касперский не ругался на переход, а powershell не высветился. За 10 минут вроде бы ничего не запустилось CollectionLog-2025.01.04-02.38.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-985872274-3998727868-663803244-1003\...\Run: [YandexBrowserAutoLaunch_ACEF9219E7E291FD78B57B786F01C070] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-985872274-3998727868-663803244-1003_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\sc211\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла
C:\Users\sc211\AppData\Roaming\Microsoft\Word\ЛЦ_5_Хм24о1_ИС_модел_БД%20311518900655605645\ЛЦ_5_Хм24о1_ИС_модел_БД%20.pdf.lnk
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
FirewallRules: [{99601530-E570-49DB-B47D-1C011965A953}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{63B14168-969B-4670-A1A3-22C20F6932EC}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{76D42EFE-74D0-4B63-9D47-56B5F5DD7F31}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{BFF0C097-E31F-4E77-958B-E287FDDE2D0F}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{451D5751-E2AB-4D55-AC79-C3E9463A2554}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{8BD20539-BDF3-4140-B713-4D00E2F8F70D}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{F67070DF-6CC5-47B0-B97C-CDF107F24596}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{803A7CE8-9B11-4A83-A9D9-344C785EC9D7}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{4910CED1-9271-4DFD-A4D2-AF16415E97D4}] => (Allow) D:\Steam\steamapps\common\Age of History 3\aoh3.exe => Нет файла
FirewallRules: [{E8258F27-9D9C-4E2C-9AA5-466E2536EF78}] => (Allow) D:\Steam\steamapps\common\Age of History 3\aoh3.exe => Нет файла
FirewallRules: [{7CC2F999-C28E-40F8-B011-CBC6BD6C30AF}] => (Allow) D:\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe => Нет файла
FirewallRules: [{939762D0-0872-4FF7-8E84-15ABAEEDBE13}] => (Allow) D:\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Опубликовано

По возможности исправьте:

 

Notepad++ (64-bit x64) v.8.6.9 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20481 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.12.6 (64-bit) v.3.12.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.95.3 Внимание! Скачать обновления
GIMP 2.10.38-1 v.2.10.38 Внимание! Скачать обновления
Discord v.1.0.9152 Внимание! Скачать обновления
Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
Yandex (All Users) v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alexoon
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • Mazahis666
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • Maxim228
      Автор Maxim228
      Проблема в следующем: Powershell иногда запускается и сразу закрывается, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Много раз запускал проверку на вирусы, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему пожалуйста(когда писал это сообщение появилось еще 2 уведомления о блокировке).
      Дополнение: когда я писал это сообщение касперский жаловался на переход по ссылке, но уже через браузер.
       
      отчет.txt
    • KL FC Bot
      Автор KL FC Bot
      Злоумышленники используют истекшие и удаленные ссылки-приглашения Discord для распространения вредоносных программ: AsyncRAT — для удаленного управления зараженным компьютером и Skuld Stealer — для кражи данных криптокошельков. Для этого преступники эксплуатируют уязвимость в механизме создания ссылок-приглашений Discord, которая позволяет незаметно перенаправлять пользователей с доверенных источников на вредоносные серверы.
      В ходе атаки они используют технику ClickFix, многоступенчатые загрузчики и отложенное выполнение, чтобы обойти защиту и незаметно доставить вредоносное ПО. В этом посте расскажем подробно, как именно злоумышленники эксплуатируют механизм создания ссылок-приглашений, что такое ClickFix, почему преступники используют эту технику и, самое главное, — как не стать жертвой данной схемы.
      Как работают ссылки-приглашения в Discord
      Для начала нам придется разобраться в том, как работают ссылки-приглашения Discord и чем они различаются между собой. Это необходимо для того, чтобы понять, каким образом злоумышленники научились эксплуатировать механизм их создания.
      Ссылки-приглашения в Discord — это специальные URL, с помощью которых пользователи могут присоединяться к серверам. Их создают администраторы, чтобы упростить доступ к сообществу без необходимости добавлять участников вручную. Ссылки-приглашения в Discord имеют два альтернативных формата:
      https://discord.gg/{код_приглашения} https://discord.com/invite/{код_приглашения} Уже сам факт того, что формат не единственный, а в одном из вариантов используется «мемный» домен, — говорит о том, что это не самое удачное решение с точки зрения безопасности, поскольку приучает пользователей к путанице. Но это еще не все. Помимо этого, у ссылок-приглашений есть еще и три типа, которые заметно отличаются друг от друга по своим свойствам:
      временные ссылки-приглашения; постоянные ссылки-приглашения; персональные ссылки-приглашения (vanityURLs).  
      View the full article
    • sloda53
      Автор sloda53
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.
       
      После установил лицензии Kaspersky Premium.
      Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.
      Прикрепляю отчет из касперского, пару файлов и скрин ошибки.
      Спасибо.
       
      10-06-2025_14-31-35.zip
×
×
  • Создать...