Заблокирован опасный веб-адрес (КИС)

[Евгений_Б]

Здравствуйте
Касперский периодически выдает сообщение

"Заблокирован опасный веб-адрес; https://vk.com/away.php?to=http%3A%2F%2Fjebadu.com%2Fafu.php%3Fzoneid%3D1207112%3Bhttp%3A%2F%2Fjebadu.com%2Fafu.php%3Fzoneid%3D1207112%3B%C2%E5%E1-%E0%E4%F0%E5%F1%3B%C2%E5%E1-%E0%E4%F0%E5%F1&cc_key=]jebadu.com/afu.php?zoneid=1207112;http://jebadu.com/a.. обнаружен в базе вредоносных веб-адресов;Service.WinServiceHost;"

вне зависимости от того какой браузер используется в данный момент и используется ли вообще. Полная проверка ничего не показывает.

Сканирование автологером проводилось при отключенной сети.
Лог сканирования в приложенном файле.


Заранее спасибо за вашу помощь
С уважением
Евгений

CollectionLog-2017.09.12-22.35.zip

Изменено 12 сентября, 2017 пользователем regist
деактивировал ссылку

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ира\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Program Files (x86)\AdBlocker\Service.WinServiceHost.exe','');
 SetServiceStart('AdBlockerService', 4);
 DeleteService('AdBlockerService');
 DeleteFile('C:\Program Files (x86)\AdBlocker\Service.WinServiceHost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 DeleteFile('C:\Windows\system32\Tasks\PBot','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
 DeleteFile('C:\Users\Ира\AppData\Roaming\Adobe\Manager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Евгений_Б]

ответ из лаборатории Касперского:
"
Re: Результат работы скрипта AVZ [KLAN-6796610672]

сегодня в 23:24
Вам:


Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
Service.WinServiceHost.exe


Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

и логи в присоединенных файлах
 

ClearLNK-12.09.2017_23-23.log

CollectionLog-2017.09.12-23.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Евгений_Б]

Здравствуйте, заархивированные логи работы Farbar в присоединенном файле.

После вчерашних манипуляций сообщение о блокировании веб адреса больше не выдавалось.

Farbar Recovery Scan Tool log.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1146587719-41115853-822310390-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f4e4a5f09e7bde1e95e73119f89d7863&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1146587719-41115853-822310390-1001 -> E649265099F59F3D2A7DE9D0A6A67A8B URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f4e4a5f09e7bde1e95e73119f89d7863&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1146587719-41115853-822310390-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f4e4a5f09e7bde1e95e73119f89d7863&text=
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1146587719-41115853-822310390-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
2017-09-12 21:52 - 2017-09-12 21:52 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign156594b12e3a1529
2017-09-12 21:22 - 2017-09-12 21:22 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign51fc9cc9984fa8db
2017-09-12 21:21 - 2017-09-12 21:21 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign2b054a322cf36569
2017-09-12 21:20 - 2017-09-12 21:20 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign9245aa41f1549561
2017-09-12 21:18 - 2017-09-12 21:18 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign53fb8f06a51c3a5c
2017-09-12 21:12 - 2017-09-12 21:12 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignd2dd1f2c846bac3d
2017-09-12 21:12 - 2017-09-12 21:12 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign82402be3c3636a9f
2017-09-12 20:35 - 2017-09-12 20:35 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign8ab9f75e2d601848
2017-09-12 20:35 - 2017-09-12 20:35 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign777cefa159663a68
2017-09-12 12:52 - 2017-09-12 12:52 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignd88ab3991c6b6886
2017-09-12 12:52 - 2017-09-12 12:52 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign07b0964d159c14eb
2017-09-10 20:07 - 2017-09-10 20:07 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignbaebdc0c65ce2839
2017-09-10 20:07 - 2017-09-10 20:07 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign671058073af6f3ff
2017-09-10 19:39 - 2017-09-10 19:39 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignfbf251c076a926f4
2017-09-10 19:39 - 2017-09-10 19:39 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign2498096e7ef875a6
2017-09-09 23:51 - 2017-09-09 23:51 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignf7ada58208c53370
2017-09-09 23:51 - 2017-09-09 23:51 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign808dce38c9e9adf8
2017-09-09 23:51 - 2017-09-09 23:51 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign5b497ee2cb73380c
2017-09-09 23:51 - 2017-09-09 23:51 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign4f9356d25c939b38
2017-09-09 23:50 - 2017-09-09 23:50 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign8881cd755dced2c5
2017-09-09 23:49 - 2017-09-09 23:49 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignda06249d63632111
2017-09-09 23:49 - 2017-09-09 23:49 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign7a80bf8997938b92
2017-09-09 23:40 - 2017-09-09 23:40 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign7cacd054bb19c9c7
2017-09-09 23:39 - 2017-09-09 23:39 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignde72df2defde2bf6
2017-09-09 23:28 - 2017-09-09 23:28 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignbb8c0cefc0c003a4
2017-09-09 23:28 - 2017-09-09 23:28 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign18ee491093df7350
2017-09-09 23:27 - 2017-09-09 23:27 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignf4a53fc913af5156
2017-09-09 23:27 - 2017-09-09 23:27 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign630945316a4585eb
2017-09-09 23:26 - 2017-09-09 23:26 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign9c2d3ddffefa871d
2017-09-09 23:26 - 2017-09-09 23:26 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign3e0e5ad95cf8e4a9
2017-09-09 23:25 - 2017-09-09 23:25 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignbf11be24c9ccf2ca
2017-09-09 23:22 - 2017-09-09 23:22 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignc64982a2812f08ac
2017-09-09 23:21 - 2017-09-09 23:21 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignd96bf7a3bbc9cd0a
2017-09-09 23:18 - 2017-09-09 23:18 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignaa3551f315dd62ee
2017-09-09 23:18 - 2017-09-09 23:18 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign00b47f575202a994
2017-09-09 23:02 - 2017-09-09 23:02 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignbbb92f27acf2e923
2017-09-09 22:59 - 2017-09-09 22:59 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign28a2e68a6fad7c14
2017-09-09 22:58 - 2017-09-09 22:58 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign6f06c383dbac3d5f
2017-09-09 22:20 - 2017-09-09 22:20 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign2e1332ffb71e4d43
2017-09-09 17:42 - 2017-09-09 17:42 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign87834135a1fce9cc
2017-09-09 17:42 - 2017-09-09 17:42 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign75c274a89d51af23
2017-09-08 22:59 - 2017-09-08 22:59 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignf0711ec70f28f79f
2017-09-08 22:59 - 2017-09-08 22:59 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign324b08da1daa388a
2017-09-08 22:59 - 2017-09-08 22:59 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign2aacdbf6e0660de6
2017-09-08 22:04 - 2017-09-08 22:04 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign53308fb037674886
2017-09-08 21:39 - 2017-09-08 21:39 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsignf651154a72039f04
2017-09-08 21:39 - 2017-09-08 21:39 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign7321b66c7306ccdd
2017-09-08 21:39 - 2017-09-08 21:39 - 000000000 ____D C:\Users\Ира\AppData\Local\Tempzxpsign51877779b29191ff
Task: {04183BA0-D7D3-4405-8C38-F80BA321DDFA} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows:nlsPreferences [0]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Евгений_Б]

Здравствуйте,
лог файл в прикрепленном сообщении

Fixlog.txt

[thyrex]

Проблема решена?

[Евгений_Б]

Да, проблема решена.
Большое спасибо за помощь.

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Евгений_Б]

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]
WebSite: www.safezone.cc
DateLog: 16.09.2017 10:37:19
Path starting: C:\Users\Ира\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Ира
VersionXML: 4.62is-12.09.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 01.08.2012 14:22:02
Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\OperaNew\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [111.7 Гб] Занято: [71.4 Гб] Свободно: [40.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18792 [+]
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2017-09-15 07:13:47
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (включен и обновлен)
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.17.0.0.611
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-bit) v.4.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.0.2.5863
Viber v.6.0.1.5
Skype™ 7.39 v.7.39.102 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 144 (64-bit) v.8.0.1440.1
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.26.0.0.118 Внимание! Скачать обновления
Adobe Flash Player 27 ActiveX v.27.0.0.130
Adobe Flash Player 27 NPAPI v.27.0.0.130
Adobe Flash Player 27 PPAPI v.27.0.0.130
Adobe Acrobat XI Pro v.11.0.19 Внимание! Скачать обновления
Adobe Reader XI (11.0.22) v.11.0.22
------------------------------- [ Browser ] -------------------------------
Google Chrome v.60.0.3112.113 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 55.0.3 (x86 ru) v.55.0.3
Opera Stable 47.0.2631.80 v.47.0.2631.80
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe v.17.0.0.611
klvssbrigde64 (klvssbrigde64) - Служба остановлена
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe v.17.0.0.643
Защитник Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

[thyrex]

Обновите указанные программы и на этом закончим.

[Евгений_Б]

спасибо!