ArtyomYurakov 1 Опубликовано 13 апреля, 2020 Share Опубликовано 13 апреля, 2020 (изменено) Проблема началась в ночь на 9 апреля (UTC+7). Согласно 30-дневному отчёту и данным из самой антивирусной программы Kaspersky Free for Windows, было найдено несколько случаев заражения. В отчёте есть такие данные: файл: C:\Windows\SysWOW64\el-GR\S-1-5-29\Riched32.dll Программа: Apple Push, Тип объекта: UDS:DangerousObject.Multi.Generic. Все найденные заражённые объекты были помещены в карантин, а затем удалены. Две последние полные проверки показали отсутствие заражения. Однако, антивирус по прежнему сообщает о том, что программа Apple Push пытается открывать опасные веб-адреса приблизительно каждые 15 минут. При этом: ни в автозагрузках windows, ни в диспетчере задач, ни в списке установленных программ нет ни одной программы от Apple. Вызов опасных веб-адресов происходит не зависимо от того работает браузер или нет. Что это такое, где лежит, и как это нечто можно выгрызти? Антивирус: Kaspersky Free for Windows ОС: Windows 8.1 CollectionLog-2020.04.13-21.23.zip KAV-log30.txt Изменено 13 апреля, 2020 пользователем ArtyomYurakov Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 апреля, 2020 Share Опубликовано 14 апреля, 2020 Здравствуйте! Если есть такой файл C:\Windows\NodeService\0\run.jsаккуратно его упакуйте в архив и прикрепите к следующему сообщению. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится. Затем: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
ArtyomYurakov 1 Опубликовано 14 апреля, 2020 Автор Share Опубликовано 14 апреля, 2020 (изменено) Здравствуйте, Sandor. Выполнил все инструкции в указанной последовательности, при выключенном Брандмауэре Windows и приостановленной защите KAV. Программа AdwCleaner ничего не нашла, так как впервые запускалась мной 12 апреля. Тогда было найдено 4 записи в реестре и 4 URL в Хроме. Для объективности картины прилагаю и тот отчёт. На данный момент KAV продолжает находить и блокировать переходы по опасным ссылкам, запускаемым программой видимой как "Apple Push" в 0, 15, 30 и 45 минут каждого часа. Я покрутил туда-сюда часы на компьютере. Она системное время использует для запросов. Run_js.zip AdwCleanerS00.txt AdwCleanerS00_120420.txt Изменено 14 апреля, 2020 пользователем ArtyomYurakov Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 14 апреля, 2020 Share Опубликовано 14 апреля, 2020 KAV продолжает находить и блокировать переходы по опасным ссылкамПри этом открыт какой-либо браузер? Если да, какой? Ваш провайдер случайно не "Ростелеком"? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
ArtyomYurakov 1 Опубликовано 14 апреля, 2020 Автор Share Опубликовано 14 апреля, 2020 В-основном, использую Chrome, редко IE. Поведение проявляется такое: 1. Переходы по опасным ссылкам обнаруживаются KAV при открытом или закрытом браузере (Chrome). 2. Переходы по опасным ссылкам обнаруживаются, если после перезагрузки ОС пользователем не выполнялось никаких действий, кроме включения интернет-соединения. 3. Если интернет-соединение выключено, то никаких сообщений KAV или других предупреждений о попытке программы установить связь не появляется. Всё тихо. 4. Определённым образом реагирует на изменение системного времени. Переходить по опасным ссылкам оно пытается только при перемотке времени вперёд, как будто хранит в памяти время прошлого запроса. Однако, горячая перезагрузка Windows стирает эту память. Провайдер DOM.RU. Доступ от Ростелеком уже много лет не использую. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 15 апреля, 2020 Share Опубликовано 15 апреля, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Task: {F92E45AD-BE23-4E52-97E7-3226D2F43C7A} - System32\Tasks\MoonTitle => C:\Windows\NodeService\0\node.exe [20769944 2018-12-30] (Node.js Foundation -> Node.js) Toolbar: HKU\S-1-5-21-1791092331-3233558559-95803741-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} - No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
ArtyomYurakov 1 Опубликовано 15 апреля, 2020 Автор Share Опубликовано 15 апреля, 2020 Кажется, я ошибся при запуске FRST64.exe. Запуск был через обычное двойное нажатие. Хотя, учётной записи пользователя присвоены права администратора. Перед нажатием "Fix" присланный код был скопирован в буфер обмена указанным способом. Выполнено единожды. Поведение "Apple Push" без изменений. Fixlog.txt 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 16 апреля, 2020 Share Опубликовано 16 апреля, 2020 К сети подключаетесь через роутер? Если да, один компьютер? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр Кравчук 0 Опубликовано 16 апреля, 2020 Share Опубликовано 16 апреля, 2020 (изменено) доброго времени суток, со вчерашнего дня у меня абсолютно таже проблема, только не было случаев заражения, вэб-антивирус присылает уведомления о блокировке перехода по ссылке программы Apple Push ни один браузер не включен, если только в фоне процедуры выше описанные не помогли провайдер Ростелеком найти программу Apple Push - не смог компьютеров в сети 3, использование домашнее, компьютеры детей не проверял на предмет вирусов Изменено 16 апреля, 2020 пользователем Александр Кравчук Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 16 апреля, 2020 Share Опубликовано 16 апреля, 2020 @Александр Кравчук, здравствуйте! Не пишите в чужой теме, выполняйте правила раздела. процедуры выше описанные не помоглиНе удивительно, т.к. пишутся индивидуально. Создайте свою тему и выполните Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
ArtyomYurakov 1 Опубликовано 16 апреля, 2020 Автор Share Опубликовано 16 апреля, 2020 К сети подключаетесь через роутер? Если да, один компьютер? Компьютер подключён напрямую к оборудованию провайдера через LAN-кабель. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 16 апреля, 2020 Share Опубликовано 16 апреля, 2020 Найдите способ для теста подключиться через другого провайдера (через usb-модем или через телефон) и сообщите результат. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ArtyomYurakov 1 Опубликовано 16 апреля, 2020 Автор Share Опубликовано 16 апреля, 2020 1. Отсоединил LAN-кабель DOM.RU 2. Выполнил холодную перезагрузку. 3. Провёл тестовое подключение через USB Wi-Fi модем YOTA Поведение "Apple Push" от смены провайдера не изменилось. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 17 апреля, 2020 Share Опубликовано 17 апреля, 2020 Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
ArtyomYurakov 1 Опубликовано 17 апреля, 2020 Автор Share Опубликовано 17 апреля, 2020 7 обнаружений. Все оставил там, где лежали. Mwb4_scan.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.