Перейти к содержанию

Заблокирован веб-адрес, который может быть использован злоумышленниками


Magnit Rus

Рекомендуемые сообщения

Здравствуйте уважаемые специалисты. Вот такая беда приключалась, при запуске Cent browser Версия 3.1.5.52 (браузер по умолчанию) (второй браузер Firefox 57.0.4. ie отключен в системе)

, появляются уведомления от KIS 2018 (405F) о блокировке перехода на опасные веб страницы. 

18.01.2018 20.44.53;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;Веб-адрес;CentBrowser;01/18/2018 20:44:53

18.01.2018 20.44.45;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/18/2018 20:44:45
В KIS включено обнаруживать другие программы, которые могут быть использованы злоумышленниками. Полное сканирование проблем не выявило. Хитман про- проблем нет. Земана сканер- проблем нет. emergency kit scanner- проблем нет. AVZ- проблем нет. ADWCLEANER- похожих проблем нет. Надеюсь на вашу помощь, спасибо. Прилагаю лог.

 

CollectionLog-2018.01.18-21.15.zip

Ссылка на комментарий
Поделиться на другие сайты

1) Темпы сами переназначили?

 

2) Просьба соберите логи этой версией Автологера.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

4) Свежий лог сканирования AdwCleaner-ом покажите.

Ссылка на комментарий
Поделиться на другие сайты

@regist,
Темп сам изменил.

MD5 карантина: DAEAF03D73D98DE2FC7522635ED93600
Размер файла: 50584371 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.
 


@regist,

Результаты проверки карантина онлайн-сервисом VirusDetector

 https://virusinfo.info/virusdetector/report.php?md5=DAEAF03D73D98DE2FC7522635ED93600

CollectionLog-2018.01.18-22.49.zip

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

HitmanPro 3.7 - деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(13);
 ExecuteRepair(20);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


+ Остатки от Dr. Web удалите http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

Скачайте, запустите утилиту удаления, введите цифры с картинки и нажмите "Удалить".

Ссылка на комментарий
Поделиться на другие сайты

@regist,Здравствуйте. Хитман про удалил. хвосты от доктор вэб удалил.
KLAN-7538552604 Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

 

CollectionLog-2018.01.19-13.02.zip

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O4 - HKLM\..\AlternateShell (SafeBoot): (no file)
O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O21 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)

 

2) Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

@regist,
Здравствуйте.
Пофиксил по вашей рекомендации. Пока блокировки не было, возможно что было подключение к вредоносным сайтам во время отключенного антивируса, для сбора логов.
Буду смотреть, завтра - послезавтра и обязательно отпишусь вам.
Спасибо за помощь.

@regist,
К сожалению проблема не решилась. Один остался.

19.01.2018 19.16.42;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/19/2018 19:16:42
Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

Сделайте свежие логи по правилам.

 

+

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

@regist,
Здравствуйте. 
Вчера через Adwcleaner отчистил политики ie и chrome

@regist,
Так же отчистил отчёты в KIS 

@regist,
Действия описанные мною выше не помогли.

20.01.2018 08.48.17;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/20/2018 08:48:17

AdwCleanerS2.txt

CollectionLog-2018.01.20-07.53.zip

Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O4 - HKLM\..\AlternateShell (SafeBoot): (no file)
O4 - User Startup: C:\Users\DEFENDER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk    ->    C:\Program Files\Rainmeter\Rainmeter.exe
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\Windows\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TMP% - C:\Windows\Temp (environment value is altered)

 

2) Сделайте свежий лог HijackThis и прикрепите.

 

3) скачайте отсюда Оперу и проверьте проблему в ней.
 

Ссылка на комментарий
Поделиться на другие сайты

@regist
Я думаю, что какое-то расширение косячит. В фаерфоксе нет такой проблемы. И блокировка происходит 1 раз в сутки, после всё нормально. сегодня отключил расширение-  https://chrome.google.com/webstore/detail/%D0%BE%D0%B1%D1%85%D0%BE%D0%B4-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%BA-%D1%80%D1%83%D0%BD%D0%B5%D1%82%D0%B0/npgcnondjocldhldegnakemclmfkngch?hl=ru

CollectionLog-2018.01.20-17.47.zip

Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования.

 

2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

3)

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

4)

 

 


сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru

также понаблюдайте и отпишитесь.

И кроме этого расширения у вас другие расширения в Cent browser-е установлены?

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования.

 

2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

3)

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

4)

 

 

сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru

также понаблюдайте и отпишитесь.

И кроме этого расширения у вас другие расширения в Cent browser-е установлены?

да, есть.  грешу именно на это. поскольку редко блокирует долго проверять.

AutorunsVTchecker все файлы проверены.

@regist

@regist,  

DESKTOP-DQQT27A_2018-01-20_18-28-17.7z

MBAM.txt

Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

Да, скорее всего из-за расширения, но немного мусор почистим.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    regt 37
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    apply
    
    restart
    
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

+

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

 

+ MBAM деинсталируйте.

 

По расширению желательно, потом всё-таки отпишитесь оно виной или нет.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • maks_b
      От maks_b
      Добрый день.
      Настраиваю блокировку доступа к сайтам, сделал тестовое правило для блокировки доступа к сайту, например к ok.ru. Сайт блокируется все норм, но при включении этого правила перестает соединяться через SSL Network Extender. И любое правило запрета доступа через веб-контроль блокирует соединение через SSL Network Extender. Ошибка на скрине. Если правило отключить, то все работает. Подскажите, как исправить?
      Версия Каспера KES 12.6., KSC тоже последней версии.


    • orenfreezer
      От orenfreezer
      Добрый день!
      Сработал шифровальщик.
      При заходе в систему открывается файл с требованиями.
      Зашифрованные файлы получили расширение ooo4ps
      Диск D заблокирован, при входе требует пароль
      Если модно помочь, помогите, пожалуйста.
       
      Логи.rar 3 файла.rar
    • shinra
      От shinra
      Здравствуйте! Очень нужна помощь. 
      adw не сканит, dr веб утиль тоже не находит. 
      Rouge Killer последняя надежда но не могу его установить по ошибке 5 отказ в доступе. Прилагаю логи от FRST  но совсем не разбираюсь что вносить.
      FRST.txt Addition.txt
    • AArsen
      От AArsen
      Добрый вечер! 
      KESL 12.1 настроена политика запрет всего по категориям. 
      Правилом выше размещаю разрешение, выбираю определенные категории и в поле пользователей выбираю пользователей поиском из AD. 
      К сожалению разрешающее правило таким образом сформированное не работает, подскажите, пожалуйста, если реализовывали, как организовать белый список пользователей, которым разрешены некоторые категории из запрещенных?
      Условно идти от обратного, запрещая не всем сотрудникам, не подходит из-за большого количества пользователей



×
×
  • Создать...