Перейти к содержанию

[РЕШЕНО] Обнаружена ранее открытая вредоносная ссылка. Сетевая атака


Рекомендуемые сообщения

Здравствуйте. Недавно в отчетах Касперского обнаружил такое сообщение.

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: WIN-N19C12GE7F8\1
Тип пользователя: Активный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: 
Степень угрозы: Высокая

Подскажите, что это может быть и насколько это опасно.

 

Через несколько дней после сообщения о вредоносной ссылке мой компьютер подвергся сетевой атаке

Компонент: Защита от сетевых атак
Описание результата: Запрещено
Название: Scan.Generic.PortScan.TCP

 

Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.

Подскажите, что это может быть и насколько это опасно.

CollectionLog-2021.04.06-19.29.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Результаты сканирования Farbar Recovery Scan Tool.

Подскажите, что видно из отчетов, Касперский вновь выдал сообщение

 

Событие: Обнаружена ранее открытая вредоносная ссылка
Пользователь: NT AUTHORITY\система
Тип пользователя: Системный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Возможна неправомерная загрузка ПО
Название: [скрыто]
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1851790a262f865cd7666a145583ce5328162292.js
Путь к объекту: [скрыто]
Причина: Облачная защита

Addition.txt FRST.txt

Изменено пользователем mike 1
Вирусные ссылки
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-12] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-12] <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    Toolbar: HKU\S-1-5-21-941476658-3307358059-3966627597-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    FirewallRules: [{A3EE9B29-AFD2-4E11-B738-0695E8BF2B1E}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
    FirewallRules: [{0E095428-D82A-4A1B-B537-AE3D77BBDE12}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
    EmptyTemp:

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен. После перезагрузки компьютера будут очищены cookie файлы в браузере и журнал с историей. Потребуется повторная авторизация на сайтах. 
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. С проблемой пока не ясно, надо время посмотреть. Сообщения о вредоносной ссылке всплывают не постоянно. Я ещё решил сменит браузер. Есть у меня подозрения на Mozilla Firefox сбоит. Пока не закрывайте тему пожалуйста.  Подскажите, что видно из логов?

 

Ссылка на сообщение
Поделиться на другие сайты

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

 

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

И подскажите утилиты лечения и сбора логов можно просто удалить?

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Простой пользователь сказал:

Я при сборе логов отключал интернет, это может как то ухудшить диагностику?

Нет. 

 

1 час назад, Простой пользователь сказал:

подскажите утилиты лечения и сбора логов можно просто удалить?

Да

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на сообщение
Поделиться на другие сайты

 

2 часа назад, mike 1 сказал:

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

 

Не получается скачать SecurityCheck by glax24 по ссылке, не пререходит по ссылке.

 

Сменил браузер 08.04.21 на Chrome и вот при запуске chrome касперский выдал вот такое сообщение. Не могу понят, это продолжение проблемы или просто нормальная работа антивируса?

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: ipv6.internet.yandex.net
Причина: Недопустимое имя сертификата.  Имя не включено в список разрешенных или явно исключено из него.

Изменено пользователем Простой пользователь
Скорректировал текст
Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Простой пользователь сказал:

Не могу понят, это продолжение проблемы или просто нормальная работа антивируса?

Нормальная работа на один из просроченных SSL сертификатов. 

 

15 минут назад, Простой пользователь сказал:

Не получается скачать SecurityCheck by glax24 по ссылке, не пререходит по ссылке

Скачайте отсюда https://safezone.cc/resources/security-check-by-glax24.25/ тогда

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, mike 1 сказал:

Нормальная работа на один из просроченных SSL сертификатов. 

 

Скачайте отсюда https://safezone.cc/resources/security-check-by-glax24.25/ тогда

Прикрепляю лог файл.

Нормальная работа, но я не переходил по данной ссылке Имя объекта: ipv6.internet.yandex.net. Это делает браузер без моего ведома или ссылка защита в страницу на которую я переходил?

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Horde
      Здравствуйте, столкнулся с такой проблемой: на протяжении двух последних дней появляются уведомления от антивируса Kaspersky "Обнаружена сетевая атака" (Название: Scan.Generic.PortScan.TCP). Проверил разными утилитами на наличие вирусов - ничего не обнаружено. В последнее время я ничего не обновлял/качал, не лазил на какие-то "подозрительные" сайты, ресурсы и тд. Проблема появилась из ниоткуда. (Вечером) Перед уведомлением о сетевой атаке начал "лагать" интернет, пропала скорость, когда проверяешь пинг пишет "превышен интервал ожидания для запроса" (хотя пинг не высокий, например: 20 ms, превышен, 21 ms). После уведомления об атаке ping показывает 100% потерь, я перезагрузил роутер и интернет пропал. Индикатор роутера горит красным (при отсутствии интернета), перезагрузка роутера, прошивка, сброс до заводских - не помогают. Во вкладке "беспроводные сети" пишет "ограничено", а индикатор сети в панели задач показывает "нет доступа к интернету". Диагностика неполадок Windows пишет "возникли проблемы с подключением широкополосного модема". В итоге выключил роутер, и остался без интернета. На след утро интернет появился, но ближе к вечеру началось тоже самое (лаги перед атакой, потом сама атака, падает инет и индикатор на роутере горит красным). Атаки происходят приблизительно в одно и тоже время. Уведомления об атаках показывает только Kaspersky, хотя стоит Comodo Firewall и Брандмауэр Windows. Я не знаю в чем проблема, не разбираюсь в этом, поэтому и прошу помощи. Если раздавать мобильный интернет (другой провайдер) на ноутбук, то атак нет. При подключении смартфона к роутеру, интернет на телефоне так же лагает и обрывается, при чем можно просто включить роутер (без подключения ноутбука, на котором уведомления об атаках) и все будет происходить так же как я описал выше. Из этого, я предполагаю что проблема не в ноутбуке (вирусах, каком-то ПО и тд), а в атаках на сам роутер, кстати можно выключить роутер на несколько часов, потом включить и интернета все так же не будет, пробовал поменять роутер на другой - ничего не изменилось, так же падает инет после атаки и появляется только на след день. Сори что так много текста, просто старался описать проблему максимально подробно. Я сканил KVRT, вирусов не нашло (первый раз все сканил, там заблочило какие-то "кряки" и тд для игрушек, они уже лет 6-7 на ноуте, точно не из-за них все, а 2ой раз я не стал добавлять диски С и D, чтобы не ждать 4 часа ради скрина). В момент "атаки" появляется непонятная сеть в "беспроводных сетях" под названием SCAM (это просто название сети, возможно просто совпадение, но раньше я её не видел и она появляются именно в промежуток времени атаки, а потом пропадает). Логи kaspersky get system info и Farbar Recovery Scan Tool загрузил, если понадобится могу загрузить логи autologger.  

      GSI6_HOME-PC_Zotack_07_01_2021_00_42_52.zip отчет Kaspersky.txt Addition.txt FRST.txt Shortcut.txt
    • От Artikov
      Браузер Chrome постоянно пытается загрузить вредоносную ссылку:
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP\uzzar
      Тип пользователя: Активный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 
      Путь к объекту: 
      Причина: Облачная защита
       
      Нужен совет специалистов по устранению данной проблемы. Заранее спасибо.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки.
    • От Простой пользователь
      Здравствуйте, сегодня антивирус выдал сообщение
      Пользователь: WIN-N19C12GE7F8\1
      Тип пользователя: Активный пользователь
      Компонент: Защита от сетевых атак
      Описание результата: Запрещено
      Название: Scan.Generic.PortScan.TCP
      Объект: TCP от 31.192.104.136 на 46.147.255.62:1355
      Дополнительно: 46.147.255.62
      Дата выпуска баз: Сегодня, 04.05.2021 17:10:00
       
      Ровно месяц назад было подобное же сообщение
      Пользователь: WIN-N19C12GE7F8\1
      Тип пользователя: Активный пользователь
      Компонент: Защита от сетевых атак
      Описание результата: Запрещено
      Название: Scan.Generic.PortScan.TCP
      Объект: TCP от 77.123.67.5 на 176.215.140.123:1980
      Дополнительно: 176.215.140.123
      Дата выпуска баз: 04.04.2021 16:13:00
       
      Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.
      Смущает, что атака зафиксирована ровно через месяц, день в день, после предыдущей.
      После предыдущей атаке открывал тему. 
      Подскажите, что может значить такая повторяющаяся сетевая атака?
      Заранее спасибо.
       
       
      CollectionLog-2021.05.04-21.29.zip
    • От Sokol_OFF
      Используемое антивирусное ПО: Kaspersky Internet Security
      Проблема: Веб-Антивирус обнаружил и начал блокировать самопроизвольные попытки открытия вредоносной ссылки http:// 185.38.111.1/ wpad.dat.
      Вредоносная ссылка активно пытается открыться после запуска ярлыка Steam. И значительно реже сама по себе, и при запуске системы.
      Что успел проверить: Быстрая проверка, как и проверка C:\Windows ничего не нашла. 
      Примечание: Сбор логов осуществлял без интернет соединения с целью невозможности открытия вредоносной ссылки.
       


       
    • От malek
      Пользуюсь антивирусом Касперского, базы самые свежие.
      Пару дней назад Веб-Антивирус начал блокировать переход по вредоносной ссылке http://185.38.111.1/wpad.dat. Сообщение о блокировке появляется с периодичностью 5-20 минут, сообщение о блокировке всплывает даже на рабочем столе, т.е. когда все браузеры закрыты.
      Выполнял полную проверку на вирусы самим антивирусом, а также Kaspersky Virus Removal Tool и Dr.Web CureIt!, в итоге ни один из них вирусов не нашел.
      Интернет подключен через роутер.
       
      Сообщение о блокировке:
      Событие :    Переход остановлен
      Пользователь :    user-ПК\user
      Тип пользователя :    Активный пользователь
      Имя программы :    svchost.exe
      Путь к программе :    C:\Windows\System32
      Компонент :    Веб-Антивирус
      Описание результата :    Запрещено
      Тип :    Вредоносная ссылка
      Название :    http://185.38.111.1/wpad.dat
      Точность :    Точно
      Степень угрозы :    Высокая
      Тип объекта :    Веб-страница
      Имя объекта :    wpad.dat
      Путь к объекту :    http://185.38.111.1
      Причина :    Базы
      Дата выпуска баз :    Сегодня, 24.03.2021 4:32:00
       
      Пробовал подключить интернет напрямую, переход по той вредоносной ссылке пропадал, но антивирус стал детектить и блокировать сетевую атаку.
       
      Пользователь :    user-ПК\user
      Тип пользователя :    Активный пользователь
      Компонент :    Защита от сетевых атак
      Описание результата :    Запрещено
      Название :    Intrusion.Win.MS17-010.o
      Объект :    TCP от 100.80.240.164 на 100.80.ххх.ххх:445
      Дополнительно :    100.80.ххх.ххх
      Дата выпуска баз :    Вчера, 23.03.2021 4:19:00
       
      Через 25 минут сетевая атака повторилась, но уже с другого IP.
      После этого я заблокировал входящие соединения TCP через 445 порт в брандмауэре, сообщения о сетевых атаках прекратились.
      Попробовав разные варианты, остановился пока на данном подключении интернета, но т.к. это не решение проблемы, а костыль, то прошу помощи в поиске и устранении уязвимости.
       
      Также пробовал подключать интернет с телефона, сетевые атаки возобновились, каждая атака на разные порты, при чем эти атаки касперский почему-то не заблокировал.
       
      CollectionLog-2021.03.24-15.43.zip
×
×
  • Создать...