Перейти к содержанию

Обнаружена ранее открытая вредоносная ссылка. Сетевая атака


Рекомендуемые сообщения

Здравствуйте. Недавно в отчетах Касперского обнаружил такое сообщение.

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: WIN-N19C12GE7F8\1
Тип пользователя: Активный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: 
Степень угрозы: Высокая

Подскажите, что это может быть и насколько это опасно.

 

Через несколько дней после сообщения о вредоносной ссылке мой компьютер подвергся сетевой атаке

Компонент: Защита от сетевых атак
Описание результата: Запрещено
Название: Scan.Generic.PortScan.TCP

 

Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.

Подскажите, что это может быть и насколько это опасно.

CollectionLog-2021.04.06-19.29.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Результаты сканирования Farbar Recovery Scan Tool.

Подскажите, что видно из отчетов, Касперский вновь выдал сообщение

 

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: NT AUTHORITY\система
Тип пользователя: Системный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: [скрыто]
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1851790a262f865cd7666a145583ce5328162292.js
Путь к объекту: [скрыто]
Причина: Облачная защита

Addition.txt FRST.txt

Изменено пользователем mike 1
Вирусные ссылки
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-12] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-12] <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    Toolbar: HKU\S-1-5-21-941476658-3307358059-3966627597-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    FirewallRules: [{A3EE9B29-AFD2-4E11-B738-0695E8BF2B1E}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
    FirewallRules: [{0E095428-D82A-4A1B-B537-AE3D77BBDE12}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
    EmptyTemp:

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен. После перезагрузки компьютера будут очищены cookie файлы в браузере и журнал с историей. Потребуется повторная авторизация на сайтах. 
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Прикрепляю файл Fixlog, архив Дата_время.zip на рабочем столе не появился. Проблема в Mozilla Firefox?

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. С проблемой пока не ясно, надо время посмотреть. Сообщения о вредоносной ссылке всплывают не постоянно. Я ещё решил сменит браузер. Есть у меня подозрения на Mozilla Firefox сбоит. Пока не закрывайте тему пожалуйста.  Подскажите, что видно из логов?

 

Ссылка на сообщение
Поделиться на другие сайты

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

 

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

И подскажите утилиты лечения и сбора логов можно просто удалить?

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Простой пользователь сказал:

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

Нет. 

 

1 час назад, Простой пользователь сказал:

подскажите утилиты лечения и сбора логов можно просто удалить?

Да

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на сообщение
Поделиться на другие сайты

 

2 часа назад, mike 1 сказал:

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

 

Не получается скачать SecurityCheck by glax24 по ссылке, не пререходит по ссылке.

 

Сменил браузер 08.04.21 на Chrome и вот при запуске chrome касперский выдал вот такое сообщение. Не могу понят, это продолжение проблемы или просто нормальная работа антивируса?

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: ipv6.internet.yandex.net
Причина: Недопустимое имя сертификата.  Имя не включено в список разрешенных или явно исключено из него.

Изменено пользователем Простой пользователь
Скорректировал текст
Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Простой пользователь сказал:

Не могу понят, это продолжение проблемы или просто нормальная работа антивируса?

Нормальная работа на один из просроченных SSL сертификатов. 

 

15 минут назад, Простой пользователь сказал:

Не получается скачать SecurityCheck by glax24 по ссылке, не пререходит по ссылке

Скачайте отсюда https://safezone.cc/resources/security-check-by-glax24.25/ тогда

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, mike 1 сказал:

Нормальная работа на один из просроченных SSL сертификатов. 

 

Скачайте отсюда https://safezone.cc/resources/security-check-by-glax24.25/ тогда

Прикрепляю лог файл.

Нормальная работа, но я не переходил по данной ссылке Имя объекта: ipv6.internet.yandex.net. Это делает браузер без моего ведома или ссылка защита в страницу на которую я переходил?

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Sokol_OFF
      Используемое антивирусное ПО: Kaspersky Internet Security
      Проблема: Веб-Антивирус обнаружил и начал блокировать самопроизвольные попытки открытия вредоносной ссылки http:// 185.38.111.1/ wpad.dat.
      Вредоносная ссылка активно пытается открыться после запуска ярлыка Steam. И значительно реже сама по себе, и при запуске системы.
      Что успел проверить: Быстрая проверка, как и проверка C:\Windows ничего не нашла. 
      Примечание: Сбор логов осуществлял без интернет соединения с целью невозможности открытия вредоносной ссылки.
       


       
    • От malek
      Пользуюсь антивирусом Касперского, базы самые свежие.
      Пару дней назад Веб-Антивирус начал блокировать переход по вредоносной ссылке http://185.38.111.1/wpad.dat. Сообщение о блокировке появляется с периодичностью 5-20 минут, сообщение о блокировке всплывает даже на рабочем столе, т.е. когда все браузеры закрыты.
      Выполнял полную проверку на вирусы самим антивирусом, а также Kaspersky Virus Removal Tool и Dr.Web CureIt!, в итоге ни один из них вирусов не нашел.
      Интернет подключен через роутер.
       
      Сообщение о блокировке:
      Событие :    Переход остановлен
      Пользователь :    user-ПК\user
      Тип пользователя :    Активный пользователь
      Имя программы :    svchost.exe
      Путь к программе :    C:\Windows\System32
      Компонент :    Веб-Антивирус
      Описание результата :    Запрещено
      Тип :    Вредоносная ссылка
      Название :    http://185.38.111.1/wpad.dat
      Точность :    Точно
      Степень угрозы :    Высокая
      Тип объекта :    Веб-страница
      Имя объекта :    wpad.dat
      Путь к объекту :    http://185.38.111.1
      Причина :    Базы
      Дата выпуска баз :    Сегодня, 24.03.2021 4:32:00
       
      Пробовал подключить интернет напрямую, переход по той вредоносной ссылке пропадал, но антивирус стал детектить и блокировать сетевую атаку.
       
      Пользователь :    user-ПК\user
      Тип пользователя :    Активный пользователь
      Компонент :    Защита от сетевых атак
      Описание результата :    Запрещено
      Название :    Intrusion.Win.MS17-010.o
      Объект :    TCP от 100.80.240.164 на 100.80.ххх.ххх:445
      Дополнительно :    100.80.ххх.ххх
      Дата выпуска баз :    Вчера, 23.03.2021 4:19:00
       
      Через 25 минут сетевая атака повторилась, но уже с другого IP.
      После этого я заблокировал входящие соединения TCP через 445 порт в брандмауэре, сообщения о сетевых атаках прекратились.
      Попробовав разные варианты, остановился пока на данном подключении интернета, но т.к. это не решение проблемы, а костыль, то прошу помощи в поиске и устранении уязвимости.
       
      Также пробовал подключать интернет с телефона, сетевые атаки возобновились, каждая атака на разные порты, при чем эти атаки касперский почему-то не заблокировал.
       
      CollectionLog-2021.03.24-15.43.zip
    • От User6323
      Добрый день. Помогите, пожалуйста, что делать в такой ситуации? В течение последних 2-х дней сыпяться уведомления антивируса Kaspersky Free об обнаружении сетевых атак.  Ip-адрес атакующего компа то повторяется, то меняется. Приложил скрин отчета, а также выгрузку отчета. Прошу помочь🙏

      отчет_сетевые атаки Scan.Generic.PortScan.TCP.txt
    • От ItzAMEGA
      Здравствуйте!
       
      Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.
      P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.
       
      Заранее спасибо.

      отчет.txt
    • От basili
      Привет.
      Около недели при открытии браузера GoogleChroom KTS блокирует переходы по вред ссылкам.
      Сам браузер с расширениями но как то раньше все было мирно.
      Помогите разобраться стоит ли бояться или не обращать внимание на блокировки.
      За ранее спасибо за вашу неоценимую помощь.
       

      CollectionLog-2021.03.02-22.31.zip
×
×
  • Создать...