Заблокирован веб-адрес, который может быть использован злоумышленниками

[Magnit Rus 2]

Здравствуйте уважаемые специалисты. Вот такая беда приключалась, при запуске Cent browser Версия 3.1.5.52 (браузер по умолчанию) (второй браузер Firefox 57.0.4. ie отключен в системе)

, появляются уведомления от KIS 2018 (405F) о блокировке перехода на опасные веб страницы. 

18.01.2018 20.44.53;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;Веб-адрес;CentBrowser;01/18/2018 20:44:53

18.01.2018 20.44.45;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/18/2018 20:44:45

В KIS включено обнаруживать другие программы, которые могут быть использованы злоумышленниками. Полное сканирование проблем не выявило. Хитман про- проблем нет. Земана сканер- проблем нет. emergency kit scanner- проблем нет. AVZ- проблем нет. ADWCLEANER- похожих проблем нет. Надеюсь на вашу помощь, спасибо. Прилагаю лог.

 

CollectionLog-2018.01.18-21.15.zip

[regist 587]

1) Темпы сами переназначили?

 

2) Просьба соберите логи этой версией Автологера.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

4) Свежий лог сканирования AdwCleaner-ом покажите.

[Magnit Rus 2]

@regist,
Темп сам изменил.

MD5 карантина: DAEAF03D73D98DE2FC7522635ED93600

Размер файла: 50584371 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.
 

@regist,

Результаты проверки карантина онлайн-сервисом VirusDetector

 https://virusinfo.info/virusdetector/report.php?md5=DAEAF03D73D98DE2FC7522635ED93600

CollectionLog-2018.01.18-22.49.zip

AdwCleanerS0.txt

[regist 587]

Здравствуйте!

 

HitmanPro 3.7 - деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(13);
 ExecuteRepair(20);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+ Остатки от Dr. Web удалите http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

Скачайте, запустите утилиту удаления, введите цифры с картинки и нажмите "Удалить".

[Magnit Rus 2]

@regist,Здравствуйте. Хитман про удалил. хвосты от доктор вэб удалил.
KLAN-7538552604 Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

 

CollectionLog-2018.01.19-13.02.zip

AdwCleanerS2.txt

[regist 587]

1) "Пофиксите" в HijackThis:

O4 - HKLM\..\AlternateShell (SafeBoot): (no file)
O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O21 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)

 

2) Что с проблемой?

[Magnit Rus 2]

@regist,
Здравствуйте.
Пофиксил по вашей рекомендации. Пока блокировки не было, возможно что было подключение к вредоносным сайтам во время отключенного антивируса, для сбора логов.
Буду смотреть, завтра - послезавтра и обязательно отпишусь вам.
Спасибо за помощь.

@regist,
К сожалению проблема не решилась. Один остался.

19.01.2018 19.16.42;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/19/2018 19:16:42

Изменено 19 января, 2018 пользователем Magnit Rus

[regist 587]

Сделайте свежие логи по правилам.

 

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Magnit Rus 2]

@regist,
Здравствуйте. 
Вчера через Adwcleaner отчистил политики ie и chrome

@regist,
Так же отчистил отчёты в KIS 

@regist,
Действия описанные мною выше не помогли.

20.01.2018 08.48.17;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/20/2018 08:48:17

AdwCleanerS2.txt

CollectionLog-2018.01.20-07.53.zip

Изменено 19 января, 2018 пользователем Magnit Rus

[regist 587]

1) "Пофиксите" в HijackThis:

O4 - HKLM\..\AlternateShell (SafeBoot): (no file)
O4 - User Startup: C:\Users\DEFENDER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk    ->    C:\Program Files\Rainmeter\Rainmeter.exe
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\Windows\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TMP% - C:\Windows\Temp (environment value is altered)

 

2) Сделайте свежий лог HijackThis и прикрепите.

 

3) скачайте отсюда Оперу и проверьте проблему в ней.
 

[Magnit Rus 2]

@regist, 
Я думаю, что какое-то расширение косячит. В фаерфоксе нет такой проблемы. И блокировка происходит 1 раз в сутки, после всё нормально. сегодня отключил расширение-  https://chrome.google.com/webstore/detail/%D0%BE%D0%B1%D1%85%D0%BE%D0%B4-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%BA-%D1%80%D1%83%D0%BD%D0%B5%D1%82%D0%B0/npgcnondjocldhldegnakemclmfkngch?hl=ru

CollectionLog-2018.01.20-17.47.zip

Изменено 20 января, 2018 пользователем Magnit Rus

[regist 587]

1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования.

 

2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

3)

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

4)

 

 

сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru

также понаблюдайте и отпишитесь.

И кроме этого расширения у вас другие расширения в Cent browser-е установлены?

Изменено 20 января, 2018 пользователем regist

[Magnit Rus 2]

1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования.

 

2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

3)

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

4)

 

 

сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru

также понаблюдайте и отпишитесь.

И кроме этого расширения у вас другие расширения в Cent browser-е установлены?

да, есть.  грешу именно на это. поскольку редко блокирует долго проверять.

AutorunsVTchecker все файлы проверены.

@regist, 

@regist,  

DESKTOP-DQQT27A_2018-01-20_18-28-17.7z

MBAM.txt

Изменено 20 января, 2018 пользователем Magnit Rus

[regist 587]

Да, скорее всего из-за расширения, но немного мусор почистим.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  regt 37
  ;---------command-block---------
  delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
  delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
  delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
  apply
  
  restart
  
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

+

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

+ MBAM деинсталируйте.

 

По расширению желательно, потом всё-таки отпишитесь оно виной или нет.

[Magnit Rus 2]

@regist,
скрипт выполнил, мбам удалил,  adwcleaner оставил( проверяю иногда).
по расширениям- обязательно отпишусь
Спасибо Вам.