:443

[Visitiry]

Открыв сегодня гугл хром выскочил баннер рекламы. Зашел в настройки и обнаружил что сайт:

 

*******----!!!!!!!!!!!!!!!  был в списке разрешенных. в блокировочных было много известных типа ютуба, фейсбука идр. с окончанием 443. Поместил этот сайт в блокировку.

 

Прошу пояснить что это.

 

Лечащая утилита доктора веба ничего не обнаружила.

Логи прилагаю.

 

Сообщение от модератора Mark D. Pearlstone

Ссылка удалена

CollectionLog-2018.09.05-21.32.zip

[regist]

@Visitiry, подробней опишите, в чём проблема заключается? То что один раз открылась рекламная ссылка это не показатель. Или она постоянно открывается?

Насчёт :443 у меня не Хром, но у многих сайтов у меня такое в адресной строке. скрин:

 

Это указывает на используемый порт.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: Skype for Desktop [command] = C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe (HKCU) (2018/03/23) (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: \Microsoft\Windows Defender\MP Scheduled Scan - d:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing)
O22 - Task: \Microsoft\Windows Defender\MpIdleTask - d:\program files\windows defender\MpCmdRun.exe -IdleTask -TaskName MpIdleTask (file missing)

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\Fonts\svchost.exe', '');
 DeleteFile('c:\windows\Fonts\svchost.exe', '64');
 RegKeyDel('HKLM', ', SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 5 сентября, 2018 пользователем regist

[Visitiry]

1. Пофиксил в в HijackThis.

2. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

https://virusinfo.info/virusdetector/report.php?md5=4D7946ECEE93655527CDF95AA1958593

3.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

[KLAN-8682101646]

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

 

Visitiry, подробней опишите, в чём проблема заключается? То что один раз открылась рекламная ссылка это не показатель. Или она постоянно открывается? Насчёт :443 у меня не Хром, но у многих сайтов у меня такое в адресной строке.

 

Открытие рекламы было в отдельном окне (не браузерном). Это окно с рекламой появлялось каждый раз после перезапуска ПК и входа в гугл хром. После того как в гугл хром в меню chrome://settings/content/notifications я внес адрес сайта на который вела реклама в список блокировочных (он был в списке разрешенных) реклама перестала появляться. И в этом же списке много других сайтов как они туда попали, не знаю.

 

 

Как прикрепить скрин шот чтобы он был виден как у вас?

CollectionLog-2018.09.06-05.40.zip

Изменено 6 сентября, 2018 пользователем Visitiry

[visitory]

 Visitiry это я. 

 

Не обратил внимания с какого пользователя зашел.

[regist]

 

 

Как прикрепить скрин шот чтобы он был виден как у вас?

хелперы и модераторы их видят.
Насчёт настроек Хрома раз не знаете, как они туда попали, то просто удалите или можете их полностью сбросить или попросить помочь в разделе Компьютерная помощь.

 

Проверьте сайт ещё открывается?

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Visitiry]

Проверьте сайт ещё открывается?

Вы имеете ввиду  не открывается ли он самостоятельно? Если да, то нет, не открывается.

 

Нашел информацию об этих "рекламах", это так называемые пуш уведомления.

Логи прикрепляю:

 

WIN-LNBK7BSK033_2018-09-06_17-51-35.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.14 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   deltmp
   ;---------command-block---------
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

Свежие логи Автологером сделайте.
 

[Visitiry]

Свежие логи

 

CollectionLog-2018.09.06-20.07.zip

[Visitiry]

Еще рекомендации будут? Или вопрос можно считать решенным?

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\Internet Explorer.lnk', '');
 DeleteFile('c:\windows\Fonts\svchost.exe', '64');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 7 сентября, 2018 пользователем regist

[Visitiry]

Файл quarantine.zip из папки AVZ отправил   с помощью этой формы

 

Новые логи прилагаю.

 

CollectionLog-2018.09.07-19.08.zip

[regist]

Проблема решена?

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Visitiry]

Да, проблема решена, спасибо.

В процессе сканирования мне выдало:

Поиск критических уязвимостей

MS17-010: Обновления безопасности для Windows SMB Server

И что надо скачать windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3

Обнаружено уязвимостей: 1

 

Но так как у меня установлена "сборка" и с момента установления виндовс я не делал обновлений, не повлечет ли это сбоя системы? Или с этим вопросом обратится в другую ветку форума?

Вопрос снимается, процесс установки обновления прошел успешно. Спасибо за помощь.

[regist]

Это обновление влияет на закрытие уязвимости которая сейчас массово используется. В том числе использовалась во время эпидемии Wanna Cry.

На проверку активации и подобное (если вы об этом) не влияет. Но вижу вы уже сами в этом убедились.

И да с подобными вопросами/проблемами правильней в раздел Компьютерная помощь.