Magnit Rus 7 Опубликовано 18 января, 2018 Share Опубликовано 18 января, 2018 Здравствуйте уважаемые специалисты. Вот такая беда приключалась, при запуске Cent browser Версия 3.1.5.52 (браузер по умолчанию) (второй браузер Firefox 57.0.4. ie отключен в системе) , появляются уведомления от KIS 2018 (405F) о блокировке перехода на опасные веб страницы. 18.01.2018 20.44.53;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;Веб-адрес;CentBrowser;01/18/2018 20:44:53 18.01.2018 20.44.45;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/18/2018 20:44:45 В KIS включено обнаруживать другие программы, которые могут быть использованы злоумышленниками. Полное сканирование проблем не выявило. Хитман про- проблем нет. Земана сканер- проблем нет. emergency kit scanner- проблем нет. AVZ- проблем нет. ADWCLEANER- похожих проблем нет. Надеюсь на вашу помощь, спасибо. Прилагаю лог. CollectionLog-2018.01.18-21.15.zip Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 января, 2018 Share Опубликовано 18 января, 2018 1) Темпы сами переназначили? 2) Просьба соберите логи этой версией Автологера. 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 4) Свежий лог сканирования AdwCleaner-ом покажите. Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 18 января, 2018 Автор Share Опубликовано 18 января, 2018 @regist,Темп сам изменил. MD5 карантина: DAEAF03D73D98DE2FC7522635ED93600 Размер файла: 50584371 байт Ссылка на результаты анализа:Результаты анализа карантина Тема для обсуждения результатов анализа: Результаты анализа карантина Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение. @regist, Результаты проверки карантина онлайн-сервисом VirusDetector https://virusinfo.info/virusdetector/report.php?md5=DAEAF03D73D98DE2FC7522635ED93600 CollectionLog-2018.01.18-22.49.zip AdwCleanerS0.txt Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 января, 2018 Share Опубликовано 18 января, 2018 Здравствуйте! HitmanPro 3.7 - деинсталируйте.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteRepair(13); ExecuteRepair(20); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. + Остатки от Dr. Web удалите http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe Скачайте, запустите утилиту удаления, введите цифры с картинки и нажмите "Удалить". Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 19 января, 2018 Автор Share Опубликовано 19 января, 2018 @regist,Здравствуйте. Хитман про удалил. хвосты от доктор вэб удалил.KLAN-7538552604 Thank you for contacting Kaspersky Lab The files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:quarantine.zipWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it. CollectionLog-2018.01.19-13.02.zip AdwCleanerS2.txt Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 января, 2018 Share Опубликовано 19 января, 2018 1) "Пофиксите" в HijackThis: O4 - HKLM\..\AlternateShell (SafeBoot): (no file) O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing) O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing) O21 - ShellIconOverlayIdentifiers: OneDrive1 - - (no file) O21 - ShellIconOverlayIdentifiers: OneDrive2 - - (no file) O21 - ShellIconOverlayIdentifiers: OneDrive3 - - (no file) O21 - ShellIconOverlayIdentifiers: OneDrive4 - - (no file) O21 - ShellIconOverlayIdentifiers: OneDrive5 - - (no file) O21-32 - ShellIconOverlayIdentifiers: OneDrive1 - - (no file) O21-32 - ShellIconOverlayIdentifiers: OneDrive2 - - (no file) O21-32 - ShellIconOverlayIdentifiers: OneDrive3 - - (no file) O21-32 - ShellIconOverlayIdentifiers: OneDrive4 - - (no file) O21-32 - ShellIconOverlayIdentifiers: OneDrive5 - - (no file) O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file) O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file) 2) Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 19 января, 2018 Автор Share Опубликовано 19 января, 2018 (изменено) @regist,Здравствуйте.Пофиксил по вашей рекомендации. Пока блокировки не было, возможно что было подключение к вредоносным сайтам во время отключенного антивируса, для сбора логов.Буду смотреть, завтра - послезавтра и обязательно отпишусь вам.Спасибо за помощь. @regist,К сожалению проблема не решилась. Один остался. 19.01.2018 19.16.42;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/19/2018 19:16:42 Изменено 19 января, 2018 пользователем Magnit Rus Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 января, 2018 Share Опубликовано 19 января, 2018 Сделайте свежие логи по правилам. + Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 19 января, 2018 Автор Share Опубликовано 19 января, 2018 (изменено) @regist,Здравствуйте. Вчера через Adwcleaner отчистил политики ie и chrome @regist,Так же отчистил отчёты в KIS @regist,Действия описанные мною выше не помогли. 20.01.2018 08.48.17;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/20/2018 08:48:17 AdwCleanerS2.txt CollectionLog-2018.01.20-07.53.zip Изменено 19 января, 2018 пользователем Magnit Rus Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 января, 2018 Share Опубликовано 20 января, 2018 1) "Пофиксите" в HijackThis: O4 - HKLM\..\AlternateShell (SafeBoot): (no file) O4 - User Startup: C:\Users\DEFENDER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk -> C:\Program Files\Rainmeter\Rainmeter.exe O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\Windows\Temp (environment value is altered) O7 - TroubleShoot: [EV] HKCU\..\%TMP% - C:\Windows\Temp (environment value is altered) 2) Сделайте свежий лог HijackThis и прикрепите. 3) скачайте отсюда Оперу и проверьте проблему в ней. Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 20 января, 2018 Автор Share Опубликовано 20 января, 2018 (изменено) @regist, Я думаю, что какое-то расширение косячит. В фаерфоксе нет такой проблемы. И блокировка происходит 1 раз в сутки, после всё нормально. сегодня отключил расширение- https://chrome.google.com/webstore/detail/%D0%BE%D0%B1%D1%85%D0%BE%D0%B4-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%BA-%D1%80%D1%83%D0%BD%D0%B5%D1%82%D0%B0/npgcnondjocldhldegnakemclmfkngch?hl=ru CollectionLog-2018.01.20-17.47.zip Изменено 20 января, 2018 пользователем Magnit Rus Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 января, 2018 Share Опубликовано 20 января, 2018 (изменено) 1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования. 2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы. 3) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". 4) сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru также понаблюдайте и отпишитесь. И кроме этого расширения у вас другие расширения в Cent browser-е установлены? Изменено 20 января, 2018 пользователем regist Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 20 января, 2018 Автор Share Опубликовано 20 января, 2018 (изменено) 1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования. 2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы. 3) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". 4) сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru также понаблюдайте и отпишитесь. И кроме этого расширения у вас другие расширения в Cent browser-е установлены? да, есть. грешу именно на это. поскольку редко блокирует долго проверять. AutorunsVTchecker все файлы проверены. @regist, @regist, DESKTOP-DQQT27A_2018-01-20_18-28-17.7z MBAM.txt Изменено 20 января, 2018 пользователем Magnit Rus Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 января, 2018 Share Опубликовано 20 января, 2018 Да, скорее всего из-за расширения, но немного мусор почистим. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG regt 37 ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен. + Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. + MBAM деинсталируйте. По расширению желательно, потом всё-таки отпишитесь оно виной или нет. Ссылка на сообщение Поделиться на другие сайты
Magnit Rus 7 Опубликовано 20 января, 2018 Автор Share Опубликовано 20 января, 2018 @regist,скрипт выполнил, мбам удалил, adwcleaner оставил( проверяю иногда).по расширениям- обязательно отпишусьСпасибо Вам. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения