Блокировка опасного веб-адреса

7 января, 2018

Добрый день!

С запуском компьютера, а также через некоторое кол-во времени Касперский выдает предупреждение о блокировке перехода по вредоносной ссылке, вне зависимости от того, работает сейчас какой-либо браузер или нет. Вместе с предупреждением секундно открывается консоль Windows для ввода команд.

Подскажите, пожалуйста, что делать.

Заранее спасибо.

CollectionLog-2018.01.07-14.49.zip

Изменено 7 января, 2018 пользователем Злата Броян

7 января, 2018

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
ExecuteFile('schtasks.exe', '/delete /TN "oWWiBEnzea" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "wZwQqkIA" /F', 0, 15000, true);
 QuarantineFile('C:\Users\User\oiAYisvE.exe','');
 QuarantineFile('C:\WINDOWS\iYvf.bat','');
 DeleteFile('C:\WINDOWS\iYvf.bat','32');
 DeleteFile('C:\Users\User\oiAYisvE.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

7 января, 2018

Re: quarantine.zip [KLAN-7482433273]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
kmsauto.exe
oiAYisvE.exe
iYvf.bat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

-------------------------------------------------------------------------

Новые логи:

UPD: Переодически Касперский обнаруживает трояны, видимо попадающие в систему из-за первичной проблемы

CollectionLog-2018.01.07-16.26.zip

7 января, 2018

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

7 января, 2018

Отчеты

Result.rar

7 января, 2018

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-01-07 17:32 - 2018-01-07 17:32 - 000003324 _____ C:\WINDOWS\System32\Tasks\wZwQqkIA
2018-01-07 17:32 - 2017-03-18 23:59 - 000000062 _____ C:\WINDOWS\iYvf.bat
2018-01-05 17:33 - 2017-03-18 23:58 - 000174592 _____ (Microsoft Corporation) C:\Users\User\xzeAM.exe
2018-01-05 17:33 - 2017-03-18 23:59 - 000001171 _____ () C:\Program Files (x86)\EbIAxyETo
2017-03-18 23:59 - 2017-03-18 23:59 - 000001171 _____ () C:\Program Files (x86)\EbIAxyETo.bat
2018-01-05 17:33 - 2017-03-18 23:59 - 000000071 _____ () C:\Program Files (x86)\NpoBc
2017-03-18 23:59 - 2017-03-18 23:59 - 000000071 _____ () C:\Program Files (x86)\NpoBc.bat
2018-01-05 17:33 - 2017-03-18 23:59 - 000000981 _____ () C:\Users\User\AppData\Roaming\euYaoywIeUY
2017-03-18 23:59 - 2017-03-18 23:59 - 000000981 _____ () C:\Users\User\AppData\Roaming\euYaoywIeUY.bat
2018-01-05 17:33 - 2018-01-05 17:33 - 000000001 _____ () C:\Users\User\AppData\Local\WMI.ini
Task: {5BD6DB80-002B-4C94-95A0-96683345C67E} - System32\Tasks\fopeuUsEOwoKy => C:\Program Files (x86)\NpoBc.bat [2017-03-18] () <==== ATTENTION
Task: {676AEC86-9134-4954-BC31-C05702DFD129} - System32\Tasks\wZwQqkIA => C:\WINDOWS\iYvf.bat [2017-03-18] () <==== ATTENTION
Task: {B9CBAAD8-5580-4508-872D-9BC51124562E} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
FirewallRules: [TCP Query User{7780C6A4-C1C1-4223-AADC-16655DA96A56}C:\programdata\ubar\ubar\ubar.exe] => (Block) C:\programdata\ubar\ubar\ubar.exe
FirewallRules: [UDP Query User{2DDEE057-A4C7-41E7-A6E5-C2CF67CC6D16}C:\programdata\ubar\ubar\ubar.exe] => (Block) C:\programdata\ubar\ubar\ubar.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

7 января, 2018

Итог работы фикса:

Fixlog.txt

7 января, 2018

Проблема решена?

7 января, 2018

Сообщения вроде больше не появлялись.

Но когда я запускаю AVZ, то в списке есть несколько сообщений о перехвате данных. Стоит мне залить лог?

7 января, 2018

Не стоит. Перехваты легитимные.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

7 января, 2018

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 07.01.2018 20:44:41

Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: User

VersionXML: 4.82is-05.01.2018

___________________________________________________________________________

Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419)

Дата установки ОС: 06.01.2018 22:49:54

Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 258835 мин.

Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 258835 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Brackets\Brackets.exe

Системный диск: C: ФС: [NTFS] Емкость: [110.4 Гб] Занято: [73.2 Гб] Свободно: [37.2 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.192.16299.0 [+]

Контроль учётных записей пользователя включен (Уровень 3)

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Восстановление системы отключено

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2013 x86 v.15.0.4569.1506

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Secure Connection v.17.0.0.611

Kaspersky Internet Security v.17.0.0.611

Kaspersky Free v.17.0.0.611

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 16.04 (x64) v.16.04

VLC media player v.2.2.4 Внимание! Скачать обновления

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

WhatsApp v.0.2.5863

Viber v.6.5.5.1481

Skype™ 7.31 v.7.31.104 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent, версия 3.4.9.43085 v.3.4.9.43085 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.18) - Russian v.11.0.18 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 57.0.4 (x64 ru) v.57.0.4

Google Chrome v.63.0.3239.132

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.63.0.3239.132

C:\Program Files\Mozilla Firefox\firefox.exe v.57.0.4.6577

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 17.0.0\avp.exe v.17.0.0.611

klvssbrigde64 (klvssbrigde64) - Служба остановлена

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 17.0.0\avpui.exe v.17.0.0.643

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Элементы Яндекса 8.0 для Internet Explorer v.8.0.2.5111 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

7 января, 2018

Исправляйте указанное, и на этом закончим.

7 января, 2018

Спасибо огромное за помощь!

Блокировка опасного веб-адреса

Рекомендуемые сообщения

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Злата Броян

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum