kaspersky блокирует опасный веб-сайт

[Сергей Каткович]

При открытии Хрома антивирус Kaspersky блокирует опасный веб-сайт. Происходит такое с периодичностью. 

Проверка нечего не выявила. 

CollectionLog-2019.01.09-02.39.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_190104
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_190104&q={searchTerms} - Ad-Aware SecureSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms} - Search the web
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: SOVqgpLsuXhFCxp2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\fHDlqDVwU\lAbOqG.dll",#1
O22 - Task: {3BA6575B-BEFE-D63C-C568-CABBD56F0708} - C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe /package https://refreshnerer711.info/UdTnNYTtQZ.Uuj -q
O22 - Task: {5AA922F2-C16A-811E-C7E5-147D6B5C00B3} - C:\Users\Сергей\EGuwYSSEkHo.exe -q /package https://refreshnerer711rb.info/wQy0za3vb8F.6Sj

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\fHDlqDVwU\lAbOqG.dll','');
 QuarantineFileF('C:\Program Files (x86)\fHDlqDVwU', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Users\Сергей\EGuwYSSEkHo.exe','');
 QuarantineFile('C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Local\Michael\Michael.dll','');
 QuarantineFileF('C:\Users\Сергей\AppData\Local\Michael', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\Users\Сергей\AppData\Local\Michael\Michael.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AppServiceGroup\Parameters','ServiceDll','x64');
 DeleteFile('C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe','64');
 DeleteSchedulerTask('{3BA6575B-BEFE-D63C-C568-CABBD56F0708}');
 DeleteFile('C:\Users\Сергей\EGuwYSSEkHo.exe','64');
 DeleteSchedulerTask('{5AA922F2-C16A-811E-C7E5-147D6B5C00B3}');
 DeleteSchedulerTask('SOVqgpLsuXhFCxp2');
 DeleteFile('C:\Program Files (x86)\fHDlqDVwU\lAbOqG.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.

 

[Сергей Каткович]

Выполнил. Нужно было Adw выполнить команду утилитой? ( очистить и восстановить ) 

AdwCleanerS00.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Сергей Каткович]

Выполнил. 

AdwCleanerS01.txt

[SQ]

Пришел ответ по карантину, найдено новое вредоносное ПО:
 

Michael.dll - Trojan-Spy.Win32.Agent.jsvx

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Сергей Каткович]

Выполнил

FRST.txt

Addition.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  CHR Extension: (Adblocker for Youtube™) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjokomechjchekkcnccjpmgakmjgoaom [2019-01-05] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
  CHR Extension: (Adblocker for Youtube™) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gjokomechjchekkcnccjpmgakmjgoaom [2019-01-05] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
  CHR Extension: (Adblocker for Youtube™) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gkegldnjiebaagebdcoglmebpgbaljdn [2019-01-05] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION
  CHR HKLM-x32\...\Chrome\Extension: [ebkgajjadgojjkgacfgjpnpgagpecpjp] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [fppjhfcgnalgfiimdflmikpifodndljf] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gbnhehnpnbiioheicppmmmjaekcdfigc] - hxxps://clients2.google.com/service/update2/crx
  File: C:\WINDOWS\system32\DrtmAuth8.bin
  File: C:\WINDOWS\system32\DrtmAuth7.bin
  File: C:\WINDOWS\system32\DrtmAuth6.bin
  File: C:\WINDOWS\system32\DrtmAuth5.bin
  File: C:\WINDOWS\system32\DrtmAuth4.bin
  File: C:\WINDOWS\system32\DrtmAuth3.bin
  File: C:\WINDOWS\system32\DrtmAuth2.bin
  File: C:\WINDOWS\system32\DrtmAuth1.bin
  2019-01-05 01:57 - 2019-01-05 02:30 - 000000000 ____D C:\Program Files\D8D4SW12AR
  Folder: C:\Users\Сергей\AppData\Roaming\Mozilla
  2019-01-05 01:52 - 2019-01-05 02:28 - 000000000 ____D C:\Program Files\6MYQYWZ3MS
  Folder: C:\ProgramData\WindowsMenu
  Folder: C:\ProgramData\{C7701419-D88A-E43F-F2C5-BC68F222E539}
  Folder: C:\ProgramData\{BE9080F9-4C6A-9DDF-1251-5C1112B60540}
  Folder: C:\Program Files (x86)\Creating
  2019-01-05 01:52 - 2019-01-05 01:56 - 000722944 _____ C:\Users\Сергей\AppData\Local\sham.db
  Folder: C:\Users\Сергей\AppData\Local\WhiteClick LLC
  2019-01-05 01:52 - 2019-01-05 01:52 - 002036078 _____ C:\Users\Сергей\AppData\Local\IsBam.tst
  2019-01-05 01:52 - 2019-01-05 01:52 - 000140800 _____ C:\Users\Сергей\AppData\Local\installer.dat
  2019-01-05 01:52 - 2019-01-05 01:52 - 000126464 _____ C:\Users\Сергей\AppData\Local\noah.dat
  2019-01-05 01:52 - 2019-01-05 01:52 - 000070896 _____ C:\Users\Сергей\AppData\Local\Config.xml
  2019-01-05 01:52 - 2019-01-05 01:52 - 000005568 _____ C:\Users\Сергей\AppData\Local\md.xml
  2019-01-05 01:52 - 2019-01-05 01:52 - 000000003 _____ C:\Users\Сергей\AppData\Local\wbem.ini
  FirewallRules: [{DD35B630-4DAF-4200-AE9F-F2C607F95473}] => (Allow) 㩃啜敳獲템峩灁䑰瑡屡潒浡湩屧楶睥癜敩啷攮數 No File
  FirewallRules: [{6C24D71B-303F-41CF-9070-072A24F0D422}] => (Allow) 㩃啜敳獲템峩灁䑰瑡屡潒浡湩屧楶睥癜敩⹷硥e No File
  FirewallRules: [{A9C0812E-D2F1-49DE-BFA6-9931CF8D934C}] => (Allow) C:\Users\Сергей\EGuwYSSEkHo.exe No File
  FirewallRules: [{47FC4ACA-E440-410D-8EAD-2BA70381E546}] => (Allow) C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

Необходимо Вам сменить все пароли, так как ранее было найдено вредоносное ПО типа Trojan-Spy.

[Сергей Каткович]

Выполнил

Fixlog.txt

Изменено 10 января, 2019 пользователем Сергей Каткович

[SQ]

Уточните пожалуйста, вам знакомо следующее:
 

C:\WINDOWS\system32\DrtmAuth8.bin
C:\WINDOWS\system32\DrtmAuth7.bin
C:\WINDOWS\system32\DrtmAuth6.bin
C:\WINDOWS\system32\DrtmAuth5.bin
C:\WINDOWS\system32\DrtmAuth4.bin
C:\WINDOWS\system32\DrtmAuth3.bin
C:\WINDOWS\system32\DrtmAuth2.bin
C:\WINDOWS\system32\DrtmAuth1.bin

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  Zip: C:\Program Files (x86)\Creating\539198255.exe.config;C:\Program Files (x86)\Creating\638455640.exe.config;C:\WINDOWS\system32\DrtmAuth8.bin;C:\WINDOWS\system32\DrtmAuth7.bin;C:\WINDOWS\system32\DrtmAuth6.bin;C:\WINDOWS\system32\DrtmAuth5.bin;C:\WINDOWS\system32\DrtmAuth4.bin;C:\WINDOWS\system32\DrtmAuth3.bin;C:\WINDOWS\system32\DrtmAuth2.bin;C:\WINDOWS\system32\DrtmAuth1.bin
  2019-01-05 01:52 - 2017-12-14 14:42 - 000001860 ____A [DEB1B377008E7C7A9BC805B740245D6B] () C:\Program Files (x86)\Creating\539198255.exe.config
  2019-01-05 01:57 - 2017-12-14 14:42 - 000001860 ____A [DEB1B377008E7C7A9BC805B740245D6B] () C:\Program Files (x86)\Creating\638455640.exe.config
  C:\Program Files (x86)\Creating
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
 

[Сергей Каткович]

Уточните пожалуйста, вам знакомо следующее:   C:\WINDOWS\system32\DrtmAuth8.bin C:\WINDOWS\system32\DrtmAuth7.bin C:\WINDOWS\system32\DrtmAuth6.bin C:\WINDOWS\system32\DrtmAuth5.bin C:\WINDOWS\system32\DrtmAuth4.bin C:\WINDOWS\system32\DrtmAuth3.bin C:\WINDOWS\system32\DrtmAuth2.bin C:\WINDOWS\system32\DrtmAuth1.bin

 

Без понятие, что это такое.

Fixlog.txt

[SQ]

Отправил карантин в Вир.лаб

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)


P.S. В случае нахождения угрозы, пожалуйста самостоятельно не удаляйте.

[SQ]

Привет ответ, о том что не найдено вредоносного ПО в последнем карантине, уточните пожалуйста вам известен следующий каталог?

C:\Program Files (x86)\Creating

с указанными файлам:
 

C:\Program Files (x86)\Creating\539198255.exe.config
C:\Program Files (x86)\Creating\638455640.exe.config

Если да, то я могу указать скрипт по восстановлению их из карантина,  сообщите пожалуйста об этом.

[Сергей Каткович]

Привет ответ, о том что не найдено вредоносного ПО в последнем карантине, уточните пожалуйста вам известен следующий каталог? C:\Program Files (x86)\Creating

 

Здравствуйте, нет, я это сам не устанавливал. 

Выполнил. Угроз не найдено. 

TDSSKiller.3.1.0.25_11.01.2019_11.53.19_log.txt

[SQ]

Сообщите, что с проблемой?