[РЕШЕНО] Обнаружена ранее открытая вредоносная ссылка. Сетевая атака

[Простой пользователь]

Здравствуйте. Недавно в отчетах Касперского обнаружил такое сообщение.

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: WIN-N19C12GE7F8\1
Тип пользователя: Активный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: 
Степень угрозы: Высокая

Подскажите, что это может быть и насколько это опасно.

 

Через несколько дней после сообщения о вредоносной ссылке мой компьютер подвергся сетевой атаке

Компонент: Защита от сетевых атак
Описание результата: Запрещено
Название: Scan.Generic.PortScan.TCP

 

Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.

Подскажите, что это может быть и насколько это опасно.

CollectionLog-2021.04.06-19.29.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Простой пользователь]

Результаты сканирования Farbar Recovery Scan Tool.

Подскажите, что видно из отчетов, Касперский вновь выдал сообщение

 

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: NT AUTHORITY\система
Тип пользователя: Системный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: [скрыто]
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1851790a262f865cd7666a145583ce5328162292.js
Путь к объекту: [скрыто]
Причина: Облачная защита

Addition.txt FRST.txt

Изменено 7 апреля, 2021 пользователем mike 1
Вирусные ссылки

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-12] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
   FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-12] <==== ВНИМАНИЕ
   WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
   WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
   WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
   Toolbar: HKU\S-1-5-21-941476658-3307358059-3966627597-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
   FirewallRules: [{A3EE9B29-AFD2-4E11-B738-0695E8BF2B1E}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
   FirewallRules: [{0E095428-D82A-4A1B-B537-AE3D77BBDE12}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
   EmptyTemp:

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен. После перезагрузки компьютера будут очищены cookie файлы в браузере и журнал с историей. Потребуется повторная авторизация на сайтах. 
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 7 апреля, 2021 пользователем mike 1

[Простой пользователь]

Прикрепляю файл Fixlog, архив Дата_время.zip на рабочем столе не появился. Проблема в Mozilla Firefox?

Fixlog.txt

[mike 1]

Что с проблемой?

[Простой пользователь]

Здравствуйте. С проблемой пока не ясно, надо время посмотреть. Сообщения о вредоносной ссылке всплывают не постоянно. Я ещё решил сменит браузер. Есть у меня подозрения на Mozilla Firefox сбоит. Пока не закрывайте тему пожалуйста.  Подскажите, что видно из логов?

 

[mike 1]

Активного заражения не видно по логам. 

[Простой пользователь]

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

 

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

И подскажите утилиты лечения и сбора логов можно просто удалить?

[mike 1]

3 часа назад, Простой пользователь сказал:

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

Нет. 

 

1 час назад, Простой пользователь сказал:

подскажите утилиты лечения и сбора логов можно просто удалить?

Да

[Простой пользователь]

Спасибо за помощь.

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[Простой пользователь]

 

2 часа назад, mike 1 сказал:

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

Не получается скачать SecurityCheck by glax24 по ссылке, не пререходит по ссылке.

 

Сменил браузер 08.04.21 на Chrome и вот при запуске chrome касперский выдал вот такое сообщение. Не могу понят, это продолжение проблемы или просто нормальная работа антивируса?

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: ipv6.internet.yandex.net
Причина: Недопустимое имя сертификата.  Имя не включено в список разрешенных или явно исключено из него.

Изменено 10 апреля, 2021 пользователем Простой пользователь
Скорректировал текст

[mike 1]

14 минут назад, Простой пользователь сказал:

Не могу понят, это продолжение проблемы или просто нормальная работа антивируса?

Нормальная работа на один из просроченных SSL сертификатов. 

 

15 минут назад, Простой пользователь сказал:

Не получается скачать SecurityCheck by glax24 по ссылке, не пререходит по ссылке

Скачайте отсюда https://safezone.cc/resources/security-check-by-glax24.25/ тогда

[Простой пользователь]

21 минуту назад, mike 1 сказал:

Нормальная работа на один из просроченных SSL сертификатов. 

 

Скачайте отсюда https://safezone.cc/resources/security-check-by-glax24.25/ тогда

Прикрепляю лог файл.

Нормальная работа, но я не переходил по данной ссылке Имя объекта: ipv6.internet.yandex.net. Это делает браузер без моего ведома или ссылка защита в страницу на которую я переходил?

SecurityCheck.txt