Перейти к содержанию

Kaspersky блокирует переход по вредоносной ссылке.


Рекомендуемые сообщения

Добрый день!

Помогите второй день постоянно выскакивает "Заблокирована вредоносная ссылка"

 

K\К;C:\Program Files (x86)\Google\Chrome\Application\chrome.exe;chrome.exe ;16828;

 

В настройка Хрома не могу найти где нужно удалить.

Сообщение от модератора Soft
Устное предупреждение за нарушение пункта 11 правил форума.

 

Ссылка на сообщение
Поделиться на другие сайты

Второй день выскакивает сообщение о блокировки вредоносной ссылки. Хром.

хттпс ://news2day.me/?endpoint=dBOEv3roV7Y:APA91bECdHfN-bNgHitPU0BhgLRSrXlT5hhv7k6I5JwyTUMMJ_i1_2F1piQ70FnUvfJ-1sKPPg_8KUBdCK-vOy4PqddZbHFM2BUxk61Jzulhnpo_RRvMCK8Sur14scg_gOTnWW4jtkYY&ver=2; 

Помогите пожалуйста удалить.

 CollectionLog-2020.10.30-10.53.zip 

 

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2020.10.30-10.53.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to Блокировка вредоносной ссылки https://news2day.me

Здравствуйте!

 

Следы бывшей установки Avast очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

Из Хрома удалите расширения

Цитата

Avast SafePrice | Сравнения, предложения, купоны

Avast Online Security

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Кнопка "Яндекс" на панели задач

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Дочистим кое-какой мусор:

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {32522448-F119-495E-BFE5-40D57DEEDE2A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
    Task: {6C5FC90E-0A4C-457F-B77E-9FA0D6332100} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1741416 2020-09-17] (Avast Software s.r.o. -> Avast Software)
    CHR DefaultSearchKeyword: Default -> mcafee
    C:\Users\К\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
    C:\Users\К\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\eofcbnmajmjmplflapaojjnihcjkigck
    C:\Users\К\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gomekmidlodglbbmalcneegieacbdmki
    C:\Users\К\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pjfkgjlnocfakoheoapicnknoglipapd
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
    CHR HKU\S-1-5-21-693001459-4266108712-2021997903-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От ramazankzn
      У многих сегодня выходит уведомление: Обнаруженный объект (файл) невозможно вылечить; https://gatpsstat.com/ext/stat;HEUR:Trojan.Multi.Preqw.gen;
       
      Решение найдено здесь: https://habr.com/ru/company/yandex/blog/534586/
       
      Кратко: команда Яндекса нашла подозрительное поведение расширений, для решения проблемы необходимо отключить/удалить расширения SaveFrom.net, Frigate Light, Frigate CDN
       
      Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.

      В этом посте мы расскажем о причинах и поделимся с сообществом результатами анализа деятельности расширений. Вы узнаете про тайное воспроизведение видео из онлайн-кинотеатров с целью накрутки просмотров. Увидите фрагмент кода, содержащий механизм для перехвата токенов ВКонтакте. Мы покажем, как организована динамическая загрузка и выполнение произвольного кода без обновления расширений.


       
      Предыстория

      Некоторое время назад пользователи Яндекс.Браузера стали обращаться в поддержку с жалобами на странный звук, который можно было принять за аудиорекламу. Примеры таких жалоб:



      Общение с пользователями помогло нам понять, что источником звука на самом деле была видеореклама. Но странность заключалась в том, что никакое видео в этот момент на экране не воспроизводилось. Сначала мы подумали, что оно проигрывалось в другой открытой вкладке или за пределами видимости, но эта гипотеза не подтвердилась. Начали запрашивать у пользователей дополнительную информацию. В том числе список установленных расширений.

      Так мы заметили общий признак: у пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net. Начали тестировать. Догадка оказалась верной: отключение расширения отключало и фоновый шум. Затем связались с его разработчиками. Они высказали предположение, что это ошибки конвертера, и внесли исправления. После обновления расширения жалобы на звук прекратились.
       
      Новая история

      В ноябре команда антифрода Яндекса заподозрила неладное. Она получила сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи видео не видели, потому что оно воспроизводилось в фоне. Тем не менее оно потребляло существенный трафик и перегружало работой вычислительные ресурсы компьютера, поэтому такое поведение нельзя назвать добросовестным.

      При этом в поддержку на посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).

      Но всё оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.

      На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store).

      Далее мы поделимся с вами результатами нашего анализа. Приведём фрагменты исходного кода и объясним суть их работы. Начнём с объяснения того, как функциональность может подгружаться в расширение без его обновления, и закончим, собственно, воспроизведением видео на компьютере ничего не подозревающего пользователя.
       
      Динамическая загрузка и выполнение кода
       
      Frigate

      (полный код расширения доступен по ссылке)

      Оба расширения из этого семейства (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Специалистам рекомендую обратить внимание на то, как хитро тут спрятана функция eval(). Кстати, обфускация кода и скрытие функциональности запрещены в Chrome Web Store.
       
      profile.js
      Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
       
      Пример ответа
      Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода.
       
      Пример кода  
      SaveFrom.net

      (полный код расширения также доступен по ссылке)

      На 19122-й строке файла background.js начинается блок сбора и выполнения кода.
       
      background.js
      Стоит обратить внимание на строку “x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)”, которая аналогична “fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)” из расширения Frigate.

      Далее идёт большой switch, который ответственен за загрузку и выполнения JS-кода.
       
      Код
      По блокам выполнение происходит так:
       
      3-10: получение адреса командного сервера с sf-helper.com/static/ffmpegSignature. В нашем случае это опять gatpsstat.com. Вот это совпадение! 15: получение манифеста приложения. 19: кодирование манифеста в base64, его отправка, регистрация хендлера. После получение ответа происходит обработка функцией R, которая снимает base64. 23: результат R сохраняется в x. 26: происходит вызов E(x), который выполняет JS-код.  
      Ответ ffmpegSignature  
      Одинаковая часть для всех расширений
       
      /ext/stat

      Итак, все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным. Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов. Но поймать (и задокументировать) подобные симптомы не так-то и просто. Поначалу мы пытались дампить трафик через функциональность браузера, но это не приносило результатов. Даже начали сомневаться, что выбрали правильный путь. Обратились к более медленному, но надёжному варианту: завернули весь трафик через Burp Suite (это такая платформа для анализа безопасности веб-приложений, которая, среди прочего, позволяет перехватывать трафик между приложением и браузером).

      Вскоре детальный анализ трафика принёс плоды. Оказалось, что наши предыдущие попытки получить правильный ответ были неуспешны из-за конфига dangerRules. Он содержал список адресов, после посещения которых потенциально опасная деятельность прекращалась.
       
      Декодированный base64 из /ext/stat, который содержит dangerRules
      Обратите внимание: сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика. Хитро!

      Расследование продолжилось. Предстояло разобраться с обработчиком /ext/up, которому и передавался конфиг. Его ответ был сжат и зашифрован, а код обфусцирован. Но это нас не остановило.
       
      /ext/up

      Ещё один обработчик с исполняемым кодом. Его ответ маскируется под GIF-картинку.



      Расшифрованный ответ содержит JSON с тремя кусками кода. Названия блоков намекают на контекст исполнения кода: bg.js (применяется на фоновой странице расширения), page.js (используется для инъекций в просматриваемые страницы), entry_point.js (код, который отдаётся на /ext/stat).

      bg.js и page.js умеют получать и внедрять в страницы iframe с video для показа рекламы. Кроме того, bg.js имеет функциональность, которая может использоваться для перехвата oAuth-токенов сервиса ВКонтакте. Мы не можем однозначно утверждать, что этот механизм в реальности использовался, но он присутствует в коде, поэтому мы рекомендуем отозвать токены для vk.com.
       
      Код для перехвата токенов
      Кроме того, в bg.js мы видим код, который подменяет браузерный API, чтобы просмотры засчитывались даже при скрытом видео.
       
      Код для подмены браузерного API  
      /ext/def

      Предположительно, этот обработчик отвечает за отдачу списка текущих заданий для открутки видео. Запрос клиента и ответ сервера сжаты и зашифрованы на ключе из параметра hk.


       
      Пример расшифрованного ответа
      В результате выполнения выданного задания видно, что браузер открывает видеоплеер и включает в нём видео. При этом сам видеоплеер не виден пользователю и действие происходит скрытно.


       
      /ext/beacon

      Отчёт о выполнении задания расширение отправляет на /ext/beacon. С уже знакомым нам сжатием и шифрованием.
       
      Тело запроса  
      Краткий пересказ того, что делают расширения

      Повторим ещё раз всё то же самое, но кратко.
       
      Расширения запрашивают с сервера конфиг, в котором содержится адрес другого, командного сервера с обработчиком /ext/stat . Обработчик /ext/stat присваивает уникальный uuid пользователю. Каждый час расширения совершают запрос на адрес /ext/stat и исполняют код, полученный в ответе. Скрипт с /ext/stat совершает запрос на /ext/up, получает сжатый основной код для выполнения cкрипта. Выполнение скрипта с /ext/up может активировать функциональность перехвата access_token'ов ВКонтакте при их получении пользователем. Перехваченные токены могут отправляться на /ext/data. Скрипт с /ext/up получает список заданий с /ext/def. Запрос и ответ шифруются на ключе, переданном в параметре hk. Видео с рекламой воспроизводится в браузере в тайне от пользователя. Отправляется отчёт на /ext/beacon.
      Это то, как выглядит работа расширений, если смотреть на их код и трафик. Но полезно взглянуть на проблему и со стороны пользователей, поэтому за спойлером вас ждёт подборка отзывов из Chrome Web Store.
       
      Отзывы пользователей  
      Принятые нами меры

      Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).

      Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.

      Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем. Мы призываем экспертов присоединиться к поиску и других потенциально опасных расширений. Результаты можно присылать через форму. Вместе мы сможем побороть эту угрозу.
    • От kishini_chizy
      Здравствуйте. Я использую Касперский Free и браузер Яндекс.  Во время работы браузера постоянно начинают приходить уведомления о блокировке веб-страницы (скриншот приложила). Вкладок с подобным названием и переходами нет, браузер без моего ведома пытается перейти. Полная проверка Касперским не дала ничего (скриншот приложила). Нашла пост с похоже проблемой, где сказано обратится на этот сайт.  Подскажите как можно избавиться от данной проблемы? Заранее, спасибо.
       
       
       
       

      CollectionLog-2020.12.24-12.20.zip
    • От PitBuLL
      Браузер был закрыт. Рабочий стол. В 7:19 KIS 21 выдал алерт - Обнаружена ранее открытая вредоносная ссылка.
      Поиск руткитов был в 3:40.
      Из отчета можно только скопировать:
      \Program Files (x86)\Google\Chrome\Application\chrome.exe;chrome.exe;C:\Program Files (x86)\Google\Chrome\Application\;Google Chrome;8920;https://bigreal.org/pushJs/RHHrXDeu.js;Обнаружена ранее открытая вредоносная ссылка;Не обработано;https://bigreal.org/pushJs/RHHrXDeu.js;https://bigreal.org/pushJs/RHHrXDeu.js;Веб-страница;Активный пользователь;;https://bigreal.org/pushJs/RHHrXDeu.js;Облачная защита;Рекламная программа;Высокая;;Не обработано;Сегодня, 01.12.2020 7:19
      Хотел в Яндексе поискать, что это за bigreal.org, только в поисковую строку забил, но даже ещё не нажал "Найти" и сразу посыпалась куча алертов - от KIS 21, вылазит один за другим: 
      Program Files (x86)\Google\Chrome\Application\chrome.exe;chrome.exe;C:\Program Files (x86)\Google\Chrome\Application\;Google Chrome;10896;https://yandex.ru/suggest/suggest-ya.cgi?...........Обнаружена легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.;Обнаружено;https://yandex.ru/suggest/suggest-ya.cgi?........&srv=morda_ru_desktop&wiz=TrWth&uil=ru&fact=..........Активный пользователь;;not-a-virus:HEUR:AdWare.Script.Pusher.gen;Экспертный анализ;Рекламная программа;Средняя;Частично;Обнаружено;Сегодня, 01.12.2020 7:27.
      Штук 10 наверно появилось предупреждений. Так и не стал нажимать "Найти" в строке поиска Яндекса.
      Что это было? Почему была обнаружена ранее открытая вредоносная ссылка, только тогда, когда и браузер то был закрыт? Прописалась рекламная программа? 
      Или не беспокоиться?
      Выполнил сейчас быструю проверку на всякий случай - 4191 файл проверен, 0 объектов обнаружены, 2 события. Это значит угроз не обнаружено (как в сообщалось в прошлых версиях KIS)?
      Надо было сегодня информацию найти, перелопатил сотни сайтов, но ни каких предупреждений от KIS 21 не было.
       
      Я просто с таким не сталкивался - Обнаружена ранее открытая вредоносная ссылка.
      Вообще за год, может раз 10 увижу предупреждение от KIS, при посещении какого-нибудь сайта, типа запрещен переход по вредоносной ссылке (или что то типа этого), т.к. посещаю проверенные временем ресурсы, а если что то ищу, то всегда обращаю внимание на зеленый щит возле строк, что выдал поиск - Безопасный сайт (по данным Kaspersky Security Network).
    • От AmigoJose
      После установки ПО Kaspersky блокирует переход по вредоносной ссылке.CollectionLog-2020.10.26-15.51.zip
    • От zenaney
      Всем привет. Столкнулся с такой проблемой, как переходы по вредоносным ссылкам без моего ведома. Пробовал чистить adwcleaner'oм от MalwareBytes, не помогает, веб-антивирус касперски время от времени блокирует переход по этом ссылкам и у меня выскакивает уведомление. Путь ссылки указан в сам файл поисковика. Кто сталкивался с подобным, какое есть решение у данной проблемы и чем это может грозить?
×
×
  • Создать...