Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Заблокирован переход по вредоносной ссылке

alekranon

Автор alekranon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

alekranon

alekranon

Опубликовано
Опубликовано

Добрый день! Начну из далека. После установки сомнительного ПО появились вируса и рекламные программки - все вылечил и удалил, но перестали работать поисковики Яндекс и Гугл, появлялась кнопка "крестик", после нажатия которой поисковики все равно неадекватно работали. Антивирус Kaspersky Free ничего не нашел. По инструкциям, по решению похожей проблемы, удалил все браузеры, все папки с их названиями + папки типа Yandex и тп. из ProgramFiles(x86) и User\AppData. Возможно чтото еще там рекомендовали, но подсмотреть уже небыло возможности. Установил новый браузер - поисковики заработали. Но антивирус стал изредка выдавать надпись (возможно и до этого писал, но там не до этого было) "Заблокирован переход по вредоносной ссылке .." Стал проверять комп DrWeb и Kaspersky Virus Removal - они удалили пару троянов, но сообщения не прекратились. Прилагаю скрин с отчетом + архив логов (там тоже проверялось на вирусы, но ничего небыло найдено)

post-48999-0-41793500-1518772405_thumb.jpg

CollectionLog-2018.02.16-11.18.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8

MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Flash\MSACuiL.exe', '');
 QuarantineFile('C:\Users\User\AvkYOOxYeSU.exe', '');
 QuarantineFile('C:\Users\User\gqYq.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{9B7AE33D-97E5-4AC2-8F35-FC6D6CCBA963}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{D348966F-1E79-4B19-9645-78388534DC84}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AdobeServis" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Flash\MSACuiL.exe', '32');
 DeleteFile('C:\Users\User\AvkYOOxYeSU.exe');
 DeleteFile('C:\Users\User\gqYq.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DirectX 11');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
alekranon

alekranon

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию
Получил предварительный ответ:

"Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
MSACuiL.exe - not-a-virus:HEUR:RiskTool.Win32.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ"


KLAN-7649594378

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Hola™ 1.81.356 - Better Internet

удалите как потенциально нежелательную через Панель управления - Удаление программ.

 

Далее:

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-3758552518-2459890253-1469822781-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B9E7247ED-DD1E-4807-B29A-DAD137863416%7D&gp=811022
SearchScopes: HKU\S-1-5-21-3758552518-2459890253-1469822781-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B9E7247ED-DD1E-4807-B29A-DAD137863416%7D&gp=811022
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3758552518-2459890253-1469822781-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2018-02-14 16:32 - 2018-02-14 16:32 - 000000000 ____D C:\Users\User\AppData\Roaming\ProductData
2018-02-14 16:31 - 2018-02-16 13:53 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-02-14 16:31 - 2018-02-16 13:53 - 000000000 ____D C:\ProgramData\IObit
2018-02-14 16:31 - 2018-02-16 13:00 - 000000000 __SHD C:\ProgramData\Flash
2018-02-14 16:31 - 2018-02-16 09:52 - 000000000 ____D C:\Users\User\AppData\Local\Optimizer
2018-02-14 16:31 - 2018-02-14 18:35 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
2018-02-14 16:31 - 2018-02-14 18:29 - 000000000 ____D C:\Users\User\AppData\LocalLow\Unity
2018-02-14 16:31 - 2018-02-14 18:29 - 000000000 ____D C:\Users\User\AppData\Local\Unity
2018-02-14 16:31 - 2018-02-14 17:39 - 000000000 ____D C:\Program Files (x86)\IObit
2018-02-14 16:31 - 2018-02-14 16:31 - 000003182 _____ C:\Windows\System32\Tasks\ASC8_PerformanceMonitor
2018-02-14 16:31 - 2018-02-14 16:31 - 000002902 _____ C:\Windows\System32\Tasks\Uninstaller_SkipUac_User
2018-02-14 16:31 - 2018-02-14 16:31 - 000002870 _____ C:\Windows\System32\Tasks\ASC8_SkipUac_User
2018-02-14 16:31 - 2018-02-14 16:31 - 000000000 ____D C:\Windows\Tasks\ImCleanDisabled
2018-02-14 16:31 - 2018-02-14 16:31 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-02-14 16:31 - 2018-02-14 16:31 - 000000000 ____D C:\Users\User\AppData\Local\MSBuild
2018-02-14 16:31 - 2018-02-14 16:31 - 000000000 ____D C:\ProgramData\ProductData
2018-02-14 16:31 - 2018-02-14 16:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare 8
2018-02-14 16:31 - 2018-02-14 16:31 - 000000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2018-02-14 16:30 - 2018-02-16 10:37 - 000000000 ____D C:\Users\User\AppData\Roaming\1337
2018-02-14 16:30 - 2018-02-14 16:40 - 000000000 ____D C:\Windows\System32\Tasks\System
2018-02-14 16:30 - 2018-02-14 16:40 - 000000000 ____D C:\Users\User\AppData\Roaming\Windows
2018-02-14 16:30 - 2018-02-14 16:30 - 000129195 _____ C:\Users\User\AppData\Roaming\run.exe
2018-02-14 16:30 - 2018-02-14 16:30 - 000000000 ____D C:\Windows\System32\Tasks\Windows
2018-02-14 16:30 - 2018-02-14 16:30 - 000000000 ____D C:\Windows\System32\Tasks\Defender
Task: {01EA4B0B-9342-4D1F-B0A8-82C752FD5BC8} - \AzureSDKService -> No File <==== ATTENTION
Task: {19312711-A904-4A9D-8F6F-37E849AAF34A} - \AdobeUpdate -> No File <==== ATTENTION
Task: {339EF8B8-5709-4FD8-B1C3-1C024EC0FA08} - System32\Tasks\Uninstaller_SkipUac_User => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {3A82EC94-DB30-48FA-9F6B-A2C3A4F42090} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe
Task: {586241A3-97FE-4969-8648-D3610356FBB4} - \System\SecurityServiceUpdate -> No File <==== ATTENTION
Task: {88322DD9-4922-44BF-A3BC-C33FFB30E34F} - System32\Tasks\Defender\CheckUpdate => C:\Users\User\AppData\Local\Temp\MSBuild.exe <==== ATTENTION
Task: {B868C79F-5528-4334-9AD3-207D20C65C65} - \Windows\Recovery\Cleaner -> No File <==== ATTENTION
Task: {FB3C07EA-A4E1-44C9-92B4-B3421CF7C857} - System32\Tasks\ASC8_SkipUac_User => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
MSCONFIG\startupreg: Advanced SystemCare 8 => "C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe" /Auto
MSCONFIG\startupreg: MailRuUpdater => C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\startupreg: Optimizer.exe => "C:\Users\User\AppData\Local\Optimizer\Optimizer.exe"
FirewallRules: [{672A788E-ADAC-46D7-9EF2-90CBF768CC07}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{3B2ABBC2-1C45-4EDB-B6CF-98AF63711DEB}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
alekranon

alekranon

Опубликовано
  • Автор
Опубликовано

За время пока все операции выполнял - ни одного сообщения нового не возникало. Правда антивирус периодически отключался - поэтому, возможно, это еще не показатель. Видимо надо подождать!


Но предварительно, большое спасибо!!)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Захват ссылок из приглашений Discord и установка вредоносного ПО | Блог Касперского
      Автор KL FC Bot
      Злоумышленники используют истекшие и удаленные ссылки-приглашения Discord для распространения вредоносных программ: AsyncRAT — для удаленного управления зараженным компьютером и Skuld Stealer — для кражи данных криптокошельков. Для этого преступники эксплуатируют уязвимость в механизме создания ссылок-приглашений Discord, которая позволяет незаметно перенаправлять пользователей с доверенных источников на вредоносные серверы.
      В ходе атаки они используют технику ClickFix, многоступенчатые загрузчики и отложенное выполнение, чтобы обойти защиту и незаметно доставить вредоносное ПО. В этом посте расскажем подробно, как именно злоумышленники эксплуатируют механизм создания ссылок-приглашений, что такое ClickFix, почему преступники используют эту технику и, самое главное, — как не стать жертвой данной схемы.
      Как работают ссылки-приглашения в Discord
      Для начала нам придется разобраться в том, как работают ссылки-приглашения Discord и чем они различаются между собой. Это необходимо для того, чтобы понять, каким образом злоумышленники научились эксплуатировать механизм их создания.
      Ссылки-приглашения в Discord — это специальные URL, с помощью которых пользователи могут присоединяться к серверам. Их создают администраторы, чтобы упростить доступ к сообществу без необходимости добавлять участников вручную. Ссылки-приглашения в Discord имеют два альтернативных формата:
      https://discord.gg/{код_приглашения} https://discord.com/invite/{код_приглашения} Уже сам факт того, что формат не единственный, а в одном из вариантов используется «мемный» домен, — говорит о том, что это не самое удачное решение с точки зрения безопасности, поскольку приучает пользователей к путанице. Но это еще не все. Помимо этого, у ссылок-приглашений есть еще и три типа, которые заметно отличаются друг от друга по своим свойствам:
      временные ссылки-приглашения; постоянные ссылки-приглашения; персональные ссылки-приглашения (vanityURLs).  
      View the full article
    • Maxim228
      [РЕШЕНО] Powershell и Yandex Browser пытаются запустить переход по вредоносной ссылке
      Автор Maxim228
      Проблема в следующем: Powershell иногда запускается и сразу закрывается, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Много раз запускал проверку на вирусы, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему пожалуйста(когда писал это сообщение появилось еще 2 уведомления о блокировке).
      Дополнение: когда я писал это сообщение касперский жаловался на переход по ссылке, но уже через браузер.
       
      отчет.txt
    • KL FC Bot
      Как вредоносные расширения из Open VSX воровали криптовалюту | Блог Касперского
      Автор KL FC Bot
      Наши исследователи обнаружили в магазине Open VSX несколько поддельных расширений, адресованных разработчикам на Solidity, с вредоносной нагрузкой внутри. Как минимум одна компания стала жертвой злоумышленников, распространяющих эти расширения, и потеряла криптоактивы на сумму около $500 000.
      Об угрозах, связанных с распространением зловредов в open-source-репозиториях, известно давно. Несмотря на это, пользователи редакторов кода с поддержкой искусственного интеллекта — таких как Cursor и Windsurf — вынуждены использовать магазин open-source-решений Open VSX, поскольку другого источника необходимых расширений для этих платформ у них нет.
      Однако в Open VSX расширения не проходят такие же тщательные проверки, как в Visual Studio Code Marketplace, и это дает злоумышленникам возможность распространять под видом легитимных решений зловредное ПО. В этом посте мы расскажем подробности об исследованных экспертами «Лаборатории Касперского» вредоносных расширениях из Open VSX и о том, как предотвратить подобные инциденты в вашей организации.
      Чем рискуют пользователи расширений из Open VSX
      В июне 2025 года блокчейн-разработчик, у которого злоумышленники похитили криптоактивы на сумму около $500 000, обратился к нашим экспертам с просьбой расследовать инцидент. В процессе изучения образа диска с зараженной системой исследователи обратили внимание на компонент расширения Solidity Language для среды разработки Cursor AI, который запускал PowerShell-скрипт — явный признак наличия вредоносной активности.

      Это расширение было установлено из магазина Open VSX, где оно имело десятки тысяч загрузок (предположительно такое количество объясняется накруткой). Согласно описанию, оно якобы помогало оптимизировать работу с кодом на языке для смарт-контрактов Solidity. Однако анализ расширения показал, что никакой полезной функциональности у него не было вообще. Установившие его разработчики посчитали невыполнение заявленных функций багом, не стали разбираться с ним сразу и продолжили работать.
       
      View the full article
    • sloda53
      Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)
      Автор sloda53
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.
       
      После установил лицензии Kaspersky Premium.
      Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.
      Прикрепляю отчет из касперского, пару файлов и скрин ошибки.
      Спасибо.
       
      10-06-2025_14-31-35.zip
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
×
×
  • Создать...