PowerShell создает запрос на переход на вредоносный сайт

[Odyssey Noire 0]

Здравствуйте. Второй день Касперский ругается на попытку перехода на вредоносный сайт. Ровно через 20 минут постоянно совершается одна попытка.

Событие: Переход остановлен
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=AG5Hmpg_1794
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 15.11.2021 6:10:00

Сегодня при открытии Яндекс.Браузера также всплывает "Переход остановлен" единожды. То есть, каждый раз, когда открываешь браузер - уведомление о переходе. Плюс каждые 20 минут через powershell это происходит.

Событие: Переход остановлен
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Имя программы: browser.exe
Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: favicon.ico
Путь к объекту: http://66.248.206.176
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 15.11.2021 6:10:00

Дважды проверял антивирусом - не найдено ничего было. 

CollectionLog-2021.11.15-17.35.zip

[Sandor 1 253]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\Windows Activation Technologies\Windows Activation Technologies');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. 

[Odyssey Noire 0]

4 часа назад, Sandor сказал:

 

Для повторной диагностики запустите снова AutoLogger. 

 

CollectionLog-2021.11.15-18.48.zip

[Sandor 1 253]

 

"Пофиксите" в HijackThis :

O22 - Task: \Microsoft\Windows\Maintenance\WinDAP - C:\WINDOWS\system32\cmd.exe /c start.bat

 

Понаблюдайте и сообщите решена ли проблема.

[Odyssey Noire 0]

5 часов назад, Sandor сказал:

 

Понаблюдайте и сообщите решена ли проблема.

Прошло почти два часа - ничего не всплывает. Пока что все в порядке. Спасибо. Подскажите, что это вообще такое и где, предположительно, мог подхватить?

[Sandor 1 253]

2 минуты назад, Odyssey Noire сказал:

что это вообще такое

Вредоносные изменения в системе.

 

3 минуты назад, Odyssey Noire сказал:

где, предположительно, мог подхватить?

Вам лучше знать. Вспоминайте что скачивали и устанавливали. Дата и время ориентировочно 2021-11-15 15:47:21

 

В завершение и на будущее:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Odyssey Noire 0]

4 часа назад, Sandor сказал:

 

В завершение и на будущее:

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

 

Только что опять тот же переход на сайт пытался совершить Яндекс.Браузер как только его открыл

SecurityCheck.txt

[Sandor 1 253]

Тогда завершать рано.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Odyssey Noire 0]

4 часа назад, Sandor сказал:

Тогда завершать рано.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

[Sandor 1 253]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-455329546-3850521510-4186257812-1001\...\MountPoints2: {f37351de-6bd8-11eb-952b-a85e45b3336d} - "E:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  2021-11-09 13:05 - 2021-11-09 13:05 - 000641024 _____ C:\ProgramData\i7Nh5H9k7J8ht.tmp
  2021-11-09 13:05 - 2021-11-09 13:05 - 000000071 _____ C:\ProgramData\iGytjjY67i.tmp
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
  AlternateDataStreams: C:\Users\ПК\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
  AlternateDataStreams: C:\Users\ПК\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

По логам видны установленные

Цитата

 

Kaspersky Free версии 21.2.16.590

Kaspersky Free версии 21.3.10.391

Kaspersky Internet Security

 

 

Удалите все. Затем пройдитесь этой утилитой.

После чего скачайте и установите нужную версию.

[Odyssey Noire 0]

4 часа назад, Sandor сказал:

 

 

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Эта штука опять вылезла. Через браузер яндекса

Fixlog.txt

4 часа назад, Odyssey Noire сказал:

Эта штука опять вылезла. Через браузер яндекса

 

Событие: Переход остановлен
Пользователь: DESKTOP-PVU7AS7\ПК
Тип пользователя: Активный пользователь
Имя программы: browser.exe
Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: favicon.ico
Путь к объекту: http://66.248.206.176
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 15.11.2021 11:59:00

4 часа назад, Odyssey Noire сказал:

Эта штука опять вылезла. Через браузер яндекса

 

Событие: Переход остановлен
Пользователь: DESKTOP-PVU7AS7\ПК
Тип пользователя: Активный пользователь
Имя программы: browser.exe
Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: favicon.ico
Путь к объекту: http://66.248.206.176
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 15.11.2021 11:59:00


Плюс вот еще что:

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: browser.exe
Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: 66.248.206.176:443
Причина: Самоподписанный сертификат

Еще в дополнение. В диспетчере задач рядом с яндекс браузером показано (13). Одна из ее вкладок "PowerShell создает запрос на..." и это число в скобках увеличивается

[Sandor 1 253]

Сделайте сброс настроек Я.браузера и понаблюдайте.

[Odyssey Noire 0]

12 часов назад, Sandor сказал:

Сделайте сброс настроек Я.браузера и понаблюдайте.

Сброс настроек сперва не помог. Когда заходил в историю браузера - появлялось то же самое. Удалил все: историю, куки, все-все. Больше не появлялось. Но пару раз всплывали эти:

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: browser.exe
Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: incut.prime-ltd.su
Причина: Этот сертификат или один из сертификатов в цепочке не актуален

Событие: Обнаружено SSL-соединение c недействительным сертификатом
Тип пользователя: Не определено
Имя программы: browser.exe
Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Имя объекта: www.doubleclickbygoogle.com
Причина: Этот сертификат или один из сертификатов в цепочке не актуален.

[Sandor 1 253]

14 часов назад, Odyssey Noire сказал:

пару раз всплывали эти

На каких сайтах, не обратили внимания?