Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Сайт jebadu.ru / Заблокирован переход по вредоносной ссылке

Макс Ли

Автор Макс Ли
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Макс Ли

Макс Ли

Опубликовано
Опубликовано

Здравствуйте! Уже несколько недель происходит "спам" данными сообщениями. Недавно даже происходило блокирование проводника (Windows не удается получить доступ к выбранному файлу или папке.). 

CollectionLog-2017.11.09-08.39.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\7654\service.exe');
 StopService('7654Bao');
 StopService('bd0004');
 QuarantineFile('c:\programdata\7654\service.exe', '');
 QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '');
 QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\7654JiHe.sys', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', '');
 QuarantineFileF('c:\users\li\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "kbrowser-updater-utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 DeleteFile('c:\programdata\7654\service.exe', '32');
 DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '32');
 DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\Users\li\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\drivers\7654JiHe.sys', '32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', '32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', '32');
 DeleteService('7654Bao');
 DeleteService('7654JiHe');
 DeleteService('bd0004');
 DeleteService('BDMWrench');
 DeleteFileMask('c:\users\li\appdata\local\microsoft\extensions', '*', true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Макс Ли

Макс Ли

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\7654\service.exe');
 StopService('7654Bao');
 StopService('bd0004');
 QuarantineFile('c:\programdata\7654\service.exe', '');
 QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '');
 QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\7654JiHe.sys', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', '');
 QuarantineFileF('c:\users\li\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "kbrowser-updater-utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 DeleteFile('c:\programdata\7654\service.exe', '32');
 DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '32');
 DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\Users\li\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\drivers\7654JiHe.sys', '32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', '32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', '32');
 DeleteService('7654Bao');
 DeleteService('7654JiHe');
 DeleteService('bd0004');
 DeleteService('BDMWrench');
 DeleteFileMask('c:\users\li\appdata\local\microsoft\extensions', '*', true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

service.exe

kbrowser-updater-utility.exe

7654JiHe.sys

7654JiHe_0.sys

bd0004.sys

BDMWrench.sys

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

 

KLAN-7112052225

Изменено пользователем Макс Ли
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
FF user.js: detected! => C:\Users\li\AppData\Roaming\Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658\user.js [2015-10-28]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> hxxp://mail.ru/cnt/10445?gp=802851
FF Keyword.URL: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> hxxp://go.mail.ru/distib/ep/?product_id=%7B50941FAE-9AAF-45D4-A71C-FB08ADA5922A%7D&gp=802861
FF Extension: (No Name) - C:\Users\li\AppData\Roaming\Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658\Extensions\9a82-077c-bd0d-85f2 [2017-01-11] [not signed]
FF Extension: (Word Proser) - C:\Program Files (x86)\Mozilla Firefox\extensions\{d9a96531-b093-4d07-9e4c-9704a365c441} [2015-08-28] [not signed]
S2 BDSafeBrowser; C:\WINDOWS\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S2 BDArKit; system32\DRIVERS\BDArKit.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {B7E44B30-5297-455D-AD64-C2E30D8C348F} - \{223FC486-1765-4FDC-963A-35C5B4239686} -> No File <==== ATTENTION
Task: {B815B007-03C3-4361-9792-952D4B1B81CA} - \{190A29C1-017F-49DB-942B-E8C73540026E} -> No File <==== ATTENTION
HKU\S-1-5-21-2723891314-1644935320-574027773-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Макс Ли

Макс Ли

Опубликовано
  • Автор
Опубликовано

Вроде пропала, но спамминг начинался в отдельные промежутки времени. Если до завтра ничего не будет, я отпишусь. Спасибо за помощь.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Проделайте завершающие шаги и понаблюдайте:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Захват ссылок из приглашений Discord и установка вредоносного ПО | Блог Касперского
      Автор KL FC Bot
      Злоумышленники используют истекшие и удаленные ссылки-приглашения Discord для распространения вредоносных программ: AsyncRAT — для удаленного управления зараженным компьютером и Skuld Stealer — для кражи данных криптокошельков. Для этого преступники эксплуатируют уязвимость в механизме создания ссылок-приглашений Discord, которая позволяет незаметно перенаправлять пользователей с доверенных источников на вредоносные серверы.
      В ходе атаки они используют технику ClickFix, многоступенчатые загрузчики и отложенное выполнение, чтобы обойти защиту и незаметно доставить вредоносное ПО. В этом посте расскажем подробно, как именно злоумышленники эксплуатируют механизм создания ссылок-приглашений, что такое ClickFix, почему преступники используют эту технику и, самое главное, — как не стать жертвой данной схемы.
      Как работают ссылки-приглашения в Discord
      Для начала нам придется разобраться в том, как работают ссылки-приглашения Discord и чем они различаются между собой. Это необходимо для того, чтобы понять, каким образом злоумышленники научились эксплуатировать механизм их создания.
      Ссылки-приглашения в Discord — это специальные URL, с помощью которых пользователи могут присоединяться к серверам. Их создают администраторы, чтобы упростить доступ к сообществу без необходимости добавлять участников вручную. Ссылки-приглашения в Discord имеют два альтернативных формата:
      https://discord.gg/{код_приглашения} https://discord.com/invite/{код_приглашения} Уже сам факт того, что формат не единственный, а в одном из вариантов используется «мемный» домен, — говорит о том, что это не самое удачное решение с точки зрения безопасности, поскольку приучает пользователей к путанице. Но это еще не все. Помимо этого, у ссылок-приглашений есть еще и три типа, которые заметно отличаются друг от друга по своим свойствам:
      временные ссылки-приглашения; постоянные ссылки-приглашения; персональные ссылки-приглашения (vanityURLs).  
      View the full article
    • KL FC Bot
      Как вредоносные расширения из Open VSX воровали криптовалюту | Блог Касперского
      Автор KL FC Bot
      Наши исследователи обнаружили в магазине Open VSX несколько поддельных расширений, адресованных разработчикам на Solidity, с вредоносной нагрузкой внутри. Как минимум одна компания стала жертвой злоумышленников, распространяющих эти расширения, и потеряла криптоактивы на сумму около $500 000.
      Об угрозах, связанных с распространением зловредов в open-source-репозиториях, известно давно. Несмотря на это, пользователи редакторов кода с поддержкой искусственного интеллекта — таких как Cursor и Windsurf — вынуждены использовать магазин open-source-решений Open VSX, поскольку другого источника необходимых расширений для этих платформ у них нет.
      Однако в Open VSX расширения не проходят такие же тщательные проверки, как в Visual Studio Code Marketplace, и это дает злоумышленникам возможность распространять под видом легитимных решений зловредное ПО. В этом посте мы расскажем подробности об исследованных экспертами «Лаборатории Касперского» вредоносных расширениях из Open VSX и о том, как предотвратить подобные инциденты в вашей организации.
      Чем рискуют пользователи расширений из Open VSX
      В июне 2025 года блокчейн-разработчик, у которого злоумышленники похитили криптоактивы на сумму около $500 000, обратился к нашим экспертам с просьбой расследовать инцидент. В процессе изучения образа диска с зараженной системой исследователи обратили внимание на компонент расширения Solidity Language для среды разработки Cursor AI, который запускал PowerShell-скрипт — явный признак наличия вредоносной активности.

      Это расширение было установлено из магазина Open VSX, где оно имело десятки тысяч загрузок (предположительно такое количество объясняется накруткой). Согласно описанию, оно якобы помогало оптимизировать работу с кодом на языке для смарт-контрактов Solidity. Однако анализ расширения показал, что никакой полезной функциональности у него не было вообще. Установившие его разработчики посчитали невыполнение заявленных функций багом, не стали разбираться с ним сразу и продолжили работать.
       
      View the full article
    • Maxim228
      [РЕШЕНО] Powershell и Yandex Browser пытаются запустить переход по вредоносной ссылке
      Автор Maxim228
      Проблема в следующем: Powershell иногда запускается и сразу закрывается, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Много раз запускал проверку на вирусы, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему пожалуйста(когда писал это сообщение появилось еще 2 уведомления о блокировке).
      Дополнение: когда я писал это сообщение касперский жаловался на переход по ссылке, но уже через браузер.
       
      отчет.txt
    • sloda53
      Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)
      Автор sloda53
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.
       
      После установил лицензии Kaspersky Premium.
      Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.
      Прикрепляю отчет из касперского, пару файлов и скрин ошибки.
      Спасибо.
       
      10-06-2025_14-31-35.zip
    • setwolk
      Блокировка сайтов
      Автор setwolk
      Доброго времени суток.
      Поискал тут, тем много у всех свои проблемы, но такой темы не нашел...
      Подскажите как заблокировать конкретный сайт побывал уже здесь https://support.kaspersky.ru/kes-for-windows/12.9/128056 попробовал все, всё равно сайты открываются.
      Как правильно написать чтобы сайт точно залочился.
      Взял на примере ya.ru и dzen.ru
      Правило в самом верху, замки закрыты...
×
×
  • Создать...