Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте.

На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
Описание события:
```
Событие: Остановлен переход на сайт
Пользователь: DESKTOP-579T290\tsvirkovv
Тип пользователя: Инициатор
Имя приложения: MSPCManager.exe
Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: flibusta.su
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: flibusta.su
Причина: Базы
Дата выпуска баз: Вчера, 09.08.2025 15:47:00

Событие: Остановлен переход на сайт
Пользователь: DESKTOP-579T290\tsvirkovv
Тип пользователя: Инициатор
Имя приложения: MSPCManager.exe
Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: http://flibusta.su/favicon.ico
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: favicon.ico
Путь к объекту: http://flibusta.su
Причина: Базы
Дата выпуска баз: Вчера, 09.08.2025 15:47:00
```
Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.

1изображ.png

2изобр.png

3изображ.png

Изменено пользователем Viacheslau T
Добавил описание события
Опубликовано

Здравствуйте.

 

14 минут назад, Viacheslau T сказал:

Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему

Когда обращаются в этот раздел, неплохо было бы сразу знакомиться с его правилами.

 

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

Опубликовано (изменено)

Пока писал тему пришли новые 4 уведомления от касперского.
Видимо вирус после проверок пытается спрятаться под другое приложение.
Добавил нужный лог.

4.png

CollectionLog-2025.08.10-01.46.zip

Изменено пользователем Viacheslau T
Добавил лог
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Edge StartupUrls: Default -> "hxxps://google.com/","hxxp://www.google.com/","hxxp://mail.ru/cnt/7993/","hxxps://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=12.2.0.5&sap=hp","hxxp://www.rambler.ru/?utm_source=r14&utm_medium=distribution&utm_content=e08&utm_campaign=a16","hxxp://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=14.0.2.14&pid=avg&sg=&sap=hp","hxxp://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=14.2.0.1&pid=avg&sg=&sap=hp","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP"
    C:\Users\RobotComp.ru\AppData\Local\Google\Chrome\User Data\Default\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
    AlternateDataStreams: C:\WINDOWS\System32:sguard [36]
    AlternateDataStreams: C:\WINDOWS\tracing:? [34]
    AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [4306]
    AlternateDataStreams: C:\ProgramData\logo.bmp:AC0AC5C1DB [4306]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4306]
    AlternateDataStreams: C:\ProgramData\update.dat:EAF50031C2 [4306]
    AlternateDataStreams: C:\ProgramData\update.dat:F4155F398D [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox Redeem Launcher.lnk:5F7248A1A5 [4306]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\tuxlerVPN.lnk:E1DCF38143 [4306]
    FirewallRules: [{3BCBBE94-BD7D-43AF-A93A-17134EF68807}] => (Allow) LPort=32682
    FirewallRules: [{5821383E-4917-4FDE-B118-03570420CA1D}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
    FirewallRules: [{2E894E85-1F81-4864-B855-2511BC1F6BE0}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
    FirewallRules: [{27F2A550-6BF8-4002-84B7-E2C57F6EB1A4}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
    FirewallRules: [{0C932D99-92DC-4048-A31D-EFFBAB35FE5D}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
    FirewallRules: [{307B3D69-C410-4330-AE98-C4383372D314}] => (Allow) C:\Program Files\Fortinet\FortiClient\FortiClient.exe => Нет файла
    FirewallRules: [{386CE14F-32C8-4FB6-85A5-8D4D1BBD7981}] => (Allow) LPort=32683
    FirewallRules: [{AEB79C7D-CD00-4839-BB52-E04510CCF191}] => (Allow) LPort=33683
    FirewallRules: [{24EFBCD3-BD5C-420A-9748-72B72413ED68}] => (Allow) LPort=26822
    startbatch:
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
    endbatch:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Выполнил шаги по инструкции, лог прикрепил.
Проблема осталась, но посмотрел fixlog, там все проводилось в двух браузерах edge и chrome, но мой основной браузер yandex, может нужно похожие шаги проделать у него?

Fixlog.txt

Опубликовано

По Яндекс браузеру в логах не видно ничего предосудительного. Но сделайте сброс его настроек и проверьте/понаблюдайте.

Результат сообщите.

Опубликовано

Сделал сброс настроек, но ничего не изменилось.
Заметил, что сам отчет о переходе приходит при перезапуске приложения Pc Manager.
В нем нашел, что есть инструмент "Быстрые ссылки Edge", и там находиться ссылка на упомянутый сайт.
Вероятно, при запуске приложения оно проходит по этим быстрым ссылкам. Но никак не могу понять, как почистить эти данные.
Если я правильно понимаю, то в предыдущих проверках признаков вируса не обнаружено? Может быть, при очистке этих ссылок попыток пройти на сайт не будет и проблема решится.
Можете помочь с инструкцией, как их очистить? По поиску в Гугл ничего толкового не нахожу.

Снимок экрана 2025-08-11 193016.png

Опубликовано
11 минут назад, Viacheslau T сказал:

при перезапуске приложения Pc Manager

А если временно удалить это приложение?

 

Опубликовано

Удалил приложение и срабатываний больше не было.
Подскажите, по остальным проверкам, какае-то явные признаки заражения есть?

Опубликовано

Нет. Но для верности сделайте дополнительно проверку с помощью CureIt. Результат сообщите.

Опубликовано

Сделал дополнительную проверку ничего не нашло.
Думаю, на этом тему можно закрывать, спасибо за помощь!

Опубликовано

Хорошо. В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • VanyeJ
      Автор VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
    • mrTomny
      Автор mrTomny
      Вопрос не решился? у меня такая же проблема вылезла....
      инфо.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Snake200221
      Автор Snake200221
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
       
      Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 
      CollectionLog-2025.01.04-00.02.zip
    • mixedust
      Автор mixedust
      Вообщем,касперский мне постоянно присылает уведомления, что загрузка остановлена и название файла или отменён переход по вредоностной ссылке. Я и пытался в расширениях что то найти и вредоностное приложение найти в панели задач и делал проверку пк, но ничего не нашёл. Не понимаю, почему касперский сам не утранит причину этого всего (у меня лицензия)
       
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правил разделов! Евгений Касперский не помогает вылечиться от вирусов и не оказывает компьютерную помощь.
    • webiis
      Автор webiis
      Здравствуйте, уважаемые форумчане!
      Две недели назад столкнулся с атакой на свой пк, украли (если я правильно понял) все куки браузера. После чего, начали приходить уведомления о входе в аккаунты с неизвестных устройств.
      Я сменил все пароли, почистил куки и кэш браузера, просканировали компьютер утилитой dr.web cureit, а после установил пробную версию Касперского, и так же удалил все найденные вирусы.
       
      Сейчас, постоянно всплывает уведомление, что "Переход остановлен - Название: https://www.ippfinfo.top/jsapi.php". Также, не устанавливаются обновления windows и не скачиваются приложения из microsoft store.
      Помогите решить проблему.
      CollectionLog-2023.03.27-10.44.zip 27.03.2023.txt
×
×
  • Создать...