Odyssey Noire 0 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Здравствуйте. Второй день Касперский ругается на попытку перехода на вредоносный сайт. Ровно через 20 минут постоянно совершается одна попытка. Событие: Переход остановлен Пользователь: NT AUTHORITY\СИСТЕМА Тип пользователя: Системный пользователь Имя программы: powershell.exe Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0 Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: update.php?i=AG5Hmpg_1794 Путь к объекту: http://google.ru Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 6:10:00 Сегодня при открытии Яндекс.Браузера также всплывает "Переход остановлен" единожды. То есть, каждый раз, когда открываешь браузер - уведомление о переходе. Плюс каждые 20 минут через powershell это происходит. Событие: Переход остановлен Пользователь: NT AUTHORITY\СИСТЕМА Тип пользователя: Системный пользователь Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: favicon.ico Путь к объекту: http://66.248.206.176 Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 6:10:00 Дважды проверял антивирусом - не найдено ничего было. CollectionLog-2021.11.15-17.35.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin DeleteSchedulerTask('Microsoft\Windows\Windows Activation Technologies\Windows Activation Technologies'); RebootWindows(false); end. Компьютер перезагрузится. Для повторной диагностики запустите снова AutoLogger. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: Для повторной диагностики запустите снова AutoLogger. CollectionLog-2021.11.15-18.48.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 "Пофиксите" в HijackThis : O22 - Task: \Microsoft\Windows\Maintenance\WinDAP - C:\WINDOWS\system32\cmd.exe /c start.bat Понаблюдайте и сообщите решена ли проблема. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 5 часов назад, Sandor сказал: Понаблюдайте и сообщите решена ли проблема. Прошло почти два часа - ничего не всплывает. Пока что все в порядке. Спасибо. Подскажите, что это вообще такое и где, предположительно, мог подхватить? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 2 минуты назад, Odyssey Noire сказал: что это вообще такое Вредоносные изменения в системе. 3 минуты назад, Odyssey Noire сказал: где, предположительно, мог подхватить? Вам лучше знать. Вспоминайте что скачивали и устанавливали. Дата и время ориентировочно 2021-11-15 15:47:21 В завершение и на будущее: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: В завершение и на будущее: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Только что опять тот же переход на сайт пытался совершить Яндекс.Браузер как только его открыл SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Тогда завершать рано. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: Тогда завершать рано. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-455329546-3850521510-4186257812-1001\...\MountPoints2: {f37351de-6bd8-11eb-952b-a85e45b3336d} - "E:\HiSuiteDownLoader.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ 2021-11-09 13:05 - 2021-11-09 13:05 - 000641024 _____ C:\ProgramData\i7Nh5H9k7J8ht.tmp 2021-11-09 13:05 - 2021-11-09 13:05 - 000000071 _____ C:\ProgramData\iGytjjY67i.tmp AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488] AlternateDataStreams: C:\Users\ПК\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394] AlternateDataStreams: C:\Users\ПК\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. По логам видны установленные Цитата Kaspersky Free версии 21.2.16.590 Kaspersky Free версии 21.3.10.391 Kaspersky Internet Security Удалите все. Затем пройдитесь этой утилитой. После чего скачайте и установите нужную версию. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Эта штука опять вылезла. Через браузер яндекса Fixlog.txt 4 часа назад, Odyssey Noire сказал: Эта штука опять вылезла. Через браузер яндекса Событие: Переход остановлен Пользователь: DESKTOP-PVU7AS7\ПК Тип пользователя: Активный пользователь Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: favicon.ico Путь к объекту: http://66.248.206.176 Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 11:59:00 4 часа назад, Odyssey Noire сказал: Эта штука опять вылезла. Через браузер яндекса Событие: Переход остановлен Пользователь: DESKTOP-PVU7AS7\ПК Тип пользователя: Активный пользователь Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: favicon.ico Путь к объекту: http://66.248.206.176 Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 11:59:00Плюс вот еще что: Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Имя объекта: 66.248.206.176:443 Причина: Самоподписанный сертификат Еще в дополнение. В диспетчере задач рядом с яндекс браузером показано (13). Одна из ее вкладок "PowerShell создает запрос на..." и это число в скобках увеличивается Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 16 ноября, 2021 Share Опубликовано 16 ноября, 2021 Сделайте сброс настроек Я.браузера и понаблюдайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 16 ноября, 2021 Автор Share Опубликовано 16 ноября, 2021 12 часов назад, Sandor сказал: Сделайте сброс настроек Я.браузера и понаблюдайте. Сброс настроек сперва не помог. Когда заходил в историю браузера - появлялось то же самое. Удалил все: историю, куки, все-все. Больше не появлялось. Но пару раз всплывали эти: Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Имя объекта: incut.prime-ltd.su Причина: Этот сертификат или один из сертификатов в цепочке не актуален Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Имя объекта: www.doubleclickbygoogle.com Причина: Этот сертификат или один из сертификатов в цепочке не актуален. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 990 Опубликовано 17 ноября, 2021 Share Опубликовано 17 ноября, 2021 14 часов назад, Odyssey Noire сказал: пару раз всплывали эти На каких сайтах, не обратили внимания? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.