Перейти к содержанию

Заблокирован веб-адрес, который может быть использован злоумышленниками


Рекомендуемые сообщения

Здравствуйте уважаемые специалисты. Вот такая беда приключалась, при запуске Cent browser Версия 3.1.5.52 (браузер по умолчанию) (второй браузер Firefox 57.0.4. ie отключен в системе)

, появляются уведомления от KIS 2018 (405F) о блокировке перехода на опасные веб страницы. 

18.01.2018 20.44.53;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;http://xml.pdn-5.com/click?adv=1444389&i=mfyilaofdnw_0;Веб-адрес;CentBrowser;01/18/2018 20:44:53

18.01.2018 20.44.45;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/18/2018 20:44:45
В KIS включено обнаруживать другие программы, которые могут быть использованы злоумышленниками. Полное сканирование проблем не выявило. Хитман про- проблем нет. Земана сканер- проблем нет. emergency kit scanner- проблем нет. AVZ- проблем нет. ADWCLEANER- похожих проблем нет. Надеюсь на вашу помощь, спасибо. Прилагаю лог.

 

CollectionLog-2018.01.18-21.15.zip

Ссылка на комментарий
Поделиться на другие сайты

1) Темпы сами переназначили?

 

2) Просьба соберите логи этой версией Автологера.

 

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

4) Свежий лог сканирования AdwCleaner-ом покажите.

Ссылка на комментарий
Поделиться на другие сайты

@regist,
Темп сам изменил.

MD5 карантина: DAEAF03D73D98DE2FC7522635ED93600
Размер файла: 50584371 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина

Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.
 


@regist,

Результаты проверки карантина онлайн-сервисом VirusDetector

 https://virusinfo.info/virusdetector/report.php?md5=DAEAF03D73D98DE2FC7522635ED93600

CollectionLog-2018.01.18-22.49.zip

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

HitmanPro 3.7 - деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(13);
 ExecuteRepair(20);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


+ Остатки от Dr. Web удалите http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

Скачайте, запустите утилиту удаления, введите цифры с картинки и нажмите "Удалить".

Ссылка на комментарий
Поделиться на другие сайты

@regist,Здравствуйте. Хитман про удалил. хвосты от доктор вэб удалил.
KLAN-7538552604 Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

 

CollectionLog-2018.01.19-13.02.zip

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O4 - HKLM\..\AlternateShell (SafeBoot): (no file)
O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O21 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: (disabled) \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)

 

2) Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

@regist,
Здравствуйте.
Пофиксил по вашей рекомендации. Пока блокировки не было, возможно что было подключение к вредоносным сайтам во время отключенного антивируса, для сбора логов.
Буду смотреть, завтра - послезавтра и обязательно отпишусь вам.
Спасибо за помощь.

@regist,
К сожалению проблема не решилась. Один остался.

19.01.2018 19.16.42;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/19/2018 19:16:42
Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

Сделайте свежие логи по правилам.

 

+

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

@regist,
Здравствуйте. 
Вчера через Adwcleaner отчистил политики ie и chrome

@regist,
Так же отчистил отчёты в KIS 

@regist,
Действия описанные мною выше не помогли.

20.01.2018 08.48.17;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;http://deloton.com/apu.php?zoneid=408912;http://deloton.com/apu.php?zoneid=408912;Веб-адрес;CentBrowser;01/20/2018 08:48:17

AdwCleanerS2.txt

CollectionLog-2018.01.20-07.53.zip

Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O4 - HKLM\..\AlternateShell (SafeBoot): (no file)
O4 - User Startup: C:\Users\DEFENDER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk    ->    C:\Program Files\Rainmeter\Rainmeter.exe
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\Windows\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TMP% - C:\Windows\Temp (environment value is altered)

 

2) Сделайте свежий лог HijackThis и прикрепите.

 

3) скачайте отсюда Оперу и проверьте проблему в ней.
 

Ссылка на комментарий
Поделиться на другие сайты

@regist
Я думаю, что какое-то расширение косячит. В фаерфоксе нет такой проблемы. И блокировка происходит 1 раз в сутки, после всё нормально. сегодня отключил расширение-  https://chrome.google.com/webstore/detail/%D0%BE%D0%B1%D1%85%D0%BE%D0%B4-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%BA-%D1%80%D1%83%D0%BD%D0%B5%D1%82%D0%B0/npgcnondjocldhldegnakemclmfkngch?hl=ru

CollectionLog-2018.01.20-17.47.zip

Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования.

 

2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

3)

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

4)

 

 


сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru

также понаблюдайте и отпишитесь.

И кроме этого расширения у вас другие расширения в Cent browser-е установлены?

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

1) MBAM раз уже установлен, то сделайте и прикрепите полный лог сканирования.

 

2) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

3)

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

4)

 

 

сегодня отключил расширение- https://chrome.googl...clmfkngch?hl=ru

также понаблюдайте и отпишитесь.

И кроме этого расширения у вас другие расширения в Cent browser-е установлены?

да, есть.  грешу именно на это. поскольку редко блокирует долго проверять.

AutorunsVTchecker все файлы проверены.

@regist

@regist,  

DESKTOP-DQQT27A_2018-01-20_18-28-17.7z

MBAM.txt

Изменено пользователем Magnit Rus
Ссылка на комментарий
Поделиться на другие сайты

Да, скорее всего из-за расширения, но немного мусор почистим.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    regt 37
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    apply
    
    restart
    
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

+

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

 

+ MBAM деинсталируйте.

 

По расширению желательно, потом всё-таки отпишитесь оно виной или нет.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Mrak
      Автор Mrak
      Всем привет!
       
      Поделитесь информацией об используемом вами приложении для учёта доходов и расходов. Кто чем пользуется?
       
      Во времена виндовс-фонов испльзовал Finance Tracker Application. Отличная программа была. Умела всё, что мне нужно, не просила денег вообще.
       
      Полез на iOS искать похожую, а там сплошные жадины-разработчики. За простейшую программу (ведь по идее это переделанный эксель, урезанный и с несколькими видами диаграмм) просят ежемесячные платежи, ежегодные платежи или фантастические разовые суммы (А ты точно будешь всю оставшуюся жизнь поддерживать программу, если я тебе 6000 рублей отдам сейчас? Что-то сомневаюсь).
       
      В общем давайте обсудим, кто и что применяет. Или меньше знаешь, крепче спишь, не надо ничего считать?  
    • Mrak
      Автор Mrak
      Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
       
      На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
      Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
       
      Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Виталий__-
      Автор Виталий__-
      Ребят, что делать в данной ситуации? Из-за проблем с перегревом, я решил поменять башню и корпус. Взял se-214-xt и корпус Bloody BD-CC107F. После этого появилась проблема, что в верхнем аудио разъеме при подключении наушников в левом ухе пипец что-то жужжит, только во время игр. (Сразу скажу что с наушниками все нормально, сам порт 20 раз переподключали и проверяли). В салатовом разъёме в самой материнке этот шум есть, но очень тихий и опять же только во время игр. Хочу дополнить что звук не просто белый шум, а какие-то писки и трещания, кстати от самого системника тоже идёт такой звук). Очень похоже на проблему писка дросселей, но все поголовно говорят, что при этой проблеме только сама карта пищит и тд, никакой звук не должен передаваться в наушники. В интернете я находил несколько постов с такой же проблемой, что именно писки и трещания передаются в наушники, но решения у всех были разные. Я честно уже без сил, не знаю что делать.
    • ChanyRi
      Автор ChanyRi
      Столкнулся с проблемой, что где то раз в две недели после выключения мой ПК сам включается. Сначало думал дело в блоке питания и заменил его, но через неделю все тоже самое. Проверил саму кнопку включения и настройки BIOS, но это тоже не дало результат. Так же точно знаю, что это не спящий режим или перезагрузка, так как при спящем режиме или перезагрузке кулера не отключаются. Теперь я подозреваю, что это какой то вирус. Есть ли вообще вирус который может включать ПК? Антивирус никаких проблем не видит. Заранее спасибо
    • shimcot
      Автор shimcot
      С какого момента заметил заметное снижение частоты кадров. Вирус маскировался в процессах под Microsoft Network Realtime lnspection Service, но с припиской .exe. Оказалось майнер. Удалил, но, как оказалось, при каждом запуске ПК, если включен интернет и антивирус не ловит (сейчас если выключен) его, то все восстанавливается. Использовал Dr Web Cureit, он обозначил загрузчик как Trojan.Siggen31.29298. Помимо лечения самого вируса в C:\ProgramData\CAAService также чистил реестр, чтобы удалить из автозагрузки. Примечательно также то, что в какой-то момент папка CAAService и процесс Powershell.exe добавляются в исключения Windows Defender. Но, как упоминал ранее, вирус самовосстанавливается при наличии включенного интернета. Прилагаю отчет AutoLogger. Также покопавшись в похожих проблемах видел, что просят сделать отчет в uVS. На всякий случай прикреплю и его. Спасибо.
      CollectionLog-2025.06.17-14.54.zip DESKTOP-CSCVQP5_2025-06-17_14-32-53_v5.0.RC2.v x64.7z
×
×
  • Создать...