Visitiry 0 Опубликовано 5 сентября, 2018 Share Опубликовано 5 сентября, 2018 Открыв сегодня гугл хром выскочил баннер рекламы. Зашел в настройки и обнаружил что сайт: *******----!!!!!!!!!!!!!!! был в списке разрешенных. в блокировочных было много известных типа ютуба, фейсбука идр. с окончанием 443. Поместил этот сайт в блокировку. Прошу пояснить что это. Лечащая утилита доктора веба ничего не обнаружила. Логи прилагаю. Сообщение от модератора Mark D. Pearlstone Ссылка удалена CollectionLog-2018.09.05-21.32.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 сентября, 2018 Share Опубликовано 5 сентября, 2018 (изменено) @Visitiry, подробней опишите, в чём проблема заключается? То что один раз открылась рекламная ссылка это не показатель. Или она постоянно открывается? Насчёт :443 у меня не Хром, но у многих сайтов у меня такое в адресной строке. скрин: Это указывает на используемый порт. "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: Skype for Desktop [command] = C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe (HKCU) (2018/03/23) (file missing) O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing) O22 - Task: \Microsoft\Windows Defender\MP Scheduled Scan - d:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing) O22 - Task: \Microsoft\Windows Defender\MpIdleTask - d:\program files\windows defender\MpCmdRun.exe -IdleTask -TaskName MpIdleTask (file missing) + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('c:\windows\Fonts\svchost.exe', ''); DeleteFile('c:\windows\Fonts\svchost.exe', '64'); RegKeyDel('HKLM', ', SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Изменено 5 сентября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Visitiry 0 Опубликовано 6 сентября, 2018 Автор Share Опубликовано 6 сентября, 2018 (изменено) 1. Пофиксил в в HijackThis. 2. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. https://virusinfo.info/virusdetector/report.php?md5=4D7946ECEE93655527CDF95AA1958593 3.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) [KLAN-8682101646] The files have been scanned in automatic mode. No information about the specified files can be found in the antivirus databases:quarantine.zip Visitiry, подробней опишите, в чём проблема заключается? То что один раз открылась рекламная ссылка это не показатель. Или она постоянно открывается? Насчёт :443 у меня не Хром, но у многих сайтов у меня такое в адресной строке. Открытие рекламы было в отдельном окне (не браузерном). Это окно с рекламой появлялось каждый раз после перезапуска ПК и входа в гугл хром. После того как в гугл хром в меню chrome://settings/content/notifications я внес адрес сайта на который вела реклама в список блокировочных (он был в списке разрешенных) реклама перестала появляться. И в этом же списке много других сайтов как они туда попали, не знаю. Как прикрепить скрин шот чтобы он был виден как у вас? CollectionLog-2018.09.06-05.40.zip Изменено 6 сентября, 2018 пользователем Visitiry Цитата Ссылка на сообщение Поделиться на другие сайты
visitory 0 Опубликовано 6 сентября, 2018 Share Опубликовано 6 сентября, 2018 Visitiry это я. Не обратил внимания с какого пользователя зашел. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 сентября, 2018 Share Опубликовано 6 сентября, 2018 Как прикрепить скрин шот чтобы он был виден как у вас? хелперы и модераторы их видят.Насчёт настроек Хрома раз не знаете, как они туда попали, то просто удалите или можете их полностью сбросить или попросить помочь в разделе Компьютерная помощь. Проверьте сайт ещё открывается? Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Visitiry 0 Опубликовано 6 сентября, 2018 Автор Share Опубликовано 6 сентября, 2018 Проверьте сайт ещё открывается? Вы имеете ввиду не открывается ли он самостоятельно? Если да, то нет, не открывается. Нашел информацию об этих "рекламах", это так называемые пуш уведомления. Логи прикрепляю: WIN-LNBK7BSK033_2018-09-06_17-51-35.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 сентября, 2018 Share Опубликовано 6 сентября, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG deltmp ;---------command-block--------- delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Свежие логи Автологером сделайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Visitiry 0 Опубликовано 6 сентября, 2018 Автор Share Опубликовано 6 сентября, 2018 Свежие логи CollectionLog-2018.09.06-20.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Visitiry 0 Опубликовано 7 сентября, 2018 Автор Share Опубликовано 7 сентября, 2018 Еще рекомендации будут? Или вопрос можно считать решенным? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 сентября, 2018 Share Опубликовано 7 сентября, 2018 (изменено) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', ''); QuarantineFile('C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\Internet Explorer (No Add-ons).lnk', ''); QuarantineFile('C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\Internet Explorer.lnk', ''); DeleteFile('c:\windows\Fonts\svchost.exe', '64'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(false); end. после выполнения скрипта компьютер перезагрузится.Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 7 сентября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Visitiry 0 Опубликовано 7 сентября, 2018 Автор Share Опубликовано 7 сентября, 2018 Файл quarantine.zip из папки AVZ отправил с помощью этой формы Новые логи прилагаю. CollectionLog-2018.09.07-19.08.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 сентября, 2018 Share Опубликовано 7 сентября, 2018 Проблема решена? Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Visitiry 0 Опубликовано 8 сентября, 2018 Автор Share Опубликовано 8 сентября, 2018 Да, проблема решена, спасибо. В процессе сканирования мне выдало: Поиск критических уязвимостей MS17-010: Обновления безопасности для Windows SMB Server И что надо скачать windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3 Обнаружено уязвимостей: 1 Но так как у меня установлена "сборка" и с момента установления виндовс я не делал обновлений, не повлечет ли это сбоя системы? Или с этим вопросом обратится в другую ветку форума? Вопрос снимается, процесс установки обновления прошел успешно. Спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 8 сентября, 2018 Share Опубликовано 8 сентября, 2018 Это обновление влияет на закрытие уязвимости которая сейчас массово используется. В том числе использовалась во время эпидемии Wanna Cry. На проверку активации и подобное (если вы об этом) не влияет. Но вижу вы уже сами в этом убедились. И да с подобными вопросами/проблемами правильней в раздел Компьютерная помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.