Odyssey Noire 0 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Здравствуйте. Второй день Касперский ругается на попытку перехода на вредоносный сайт. Ровно через 20 минут постоянно совершается одна попытка. Событие: Переход остановлен Пользователь: NT AUTHORITY\СИСТЕМА Тип пользователя: Системный пользователь Имя программы: powershell.exe Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0 Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: update.php?i=AG5Hmpg_1794 Путь к объекту: http://google.ru Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 6:10:00 Сегодня при открытии Яндекс.Браузера также всплывает "Переход остановлен" единожды. То есть, каждый раз, когда открываешь браузер - уведомление о переходе. Плюс каждые 20 минут через powershell это происходит. Событие: Переход остановлен Пользователь: NT AUTHORITY\СИСТЕМА Тип пользователя: Системный пользователь Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: favicon.ico Путь к объекту: http://66.248.206.176 Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 6:10:00 Дважды проверял антивирусом - не найдено ничего было. CollectionLog-2021.11.15-17.35.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin DeleteSchedulerTask('Microsoft\Windows\Windows Activation Technologies\Windows Activation Technologies'); RebootWindows(false); end. Компьютер перезагрузится. Для повторной диагностики запустите снова AutoLogger. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: Для повторной диагностики запустите снова AutoLogger. CollectionLog-2021.11.15-18.48.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 "Пофиксите" в HijackThis : O22 - Task: \Microsoft\Windows\Maintenance\WinDAP - C:\WINDOWS\system32\cmd.exe /c start.bat Понаблюдайте и сообщите решена ли проблема. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 5 часов назад, Sandor сказал: Понаблюдайте и сообщите решена ли проблема. Прошло почти два часа - ничего не всплывает. Пока что все в порядке. Спасибо. Подскажите, что это вообще такое и где, предположительно, мог подхватить? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 2 минуты назад, Odyssey Noire сказал: что это вообще такое Вредоносные изменения в системе. 3 минуты назад, Odyssey Noire сказал: где, предположительно, мог подхватить? Вам лучше знать. Вспоминайте что скачивали и устанавливали. Дата и время ориентировочно 2021-11-15 15:47:21 В завершение и на будущее: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: В завершение и на будущее: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Только что опять тот же переход на сайт пытался совершить Яндекс.Браузер как только его открыл SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Тогда завершать рано. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: Тогда завершать рано. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 ноября, 2021 Share Опубликовано 15 ноября, 2021 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-455329546-3850521510-4186257812-1001\...\MountPoints2: {f37351de-6bd8-11eb-952b-a85e45b3336d} - "E:\HiSuiteDownLoader.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ 2021-11-09 13:05 - 2021-11-09 13:05 - 000641024 _____ C:\ProgramData\i7Nh5H9k7J8ht.tmp 2021-11-09 13:05 - 2021-11-09 13:05 - 000000071 _____ C:\ProgramData\iGytjjY67i.tmp AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488] AlternateDataStreams: C:\Users\ПК\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394] AlternateDataStreams: C:\Users\ПК\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. По логам видны установленные Цитата Kaspersky Free версии 21.2.16.590 Kaspersky Free версии 21.3.10.391 Kaspersky Internet Security Удалите все. Затем пройдитесь этой утилитой. После чего скачайте и установите нужную версию. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 15 ноября, 2021 Автор Share Опубликовано 15 ноября, 2021 4 часа назад, Sandor сказал: Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Эта штука опять вылезла. Через браузер яндекса Fixlog.txt 4 часа назад, Odyssey Noire сказал: Эта штука опять вылезла. Через браузер яндекса Событие: Переход остановлен Пользователь: DESKTOP-PVU7AS7\ПК Тип пользователя: Активный пользователь Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: favicon.ico Путь к объекту: http://66.248.206.176 Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 11:59:00 4 часа назад, Odyssey Noire сказал: Эта штука опять вылезла. Через браузер яндекса Событие: Переход остановлен Пользователь: DESKTOP-PVU7AS7\ПК Тип пользователя: Активный пользователь Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Тип: Вредоносная ссылка Название: 66.248.206.176 Точность: Точно Степень угрозы: Высокая Тип объекта: Веб-страница Имя объекта: favicon.ico Путь к объекту: http://66.248.206.176 Причина: Kaspersky Security Network Дата выпуска баз: Сегодня, 15.11.2021 11:59:00Плюс вот еще что: Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Имя объекта: 66.248.206.176:443 Причина: Самоподписанный сертификат Еще в дополнение. В диспетчере задач рядом с яндекс браузером показано (13). Одна из ее вкладок "PowerShell создает запрос на..." и это число в скобках увеличивается Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 16 ноября, 2021 Share Опубликовано 16 ноября, 2021 Сделайте сброс настроек Я.браузера и понаблюдайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Odyssey Noire 0 Опубликовано 16 ноября, 2021 Автор Share Опубликовано 16 ноября, 2021 12 часов назад, Sandor сказал: Сделайте сброс настроек Я.браузера и понаблюдайте. Сброс настроек сперва не помог. Когда заходил в историю браузера - появлялось то же самое. Удалил все: историю, куки, все-все. Больше не появлялось. Но пару раз всплывали эти: Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Имя объекта: incut.prime-ltd.su Причина: Этот сертификат или один из сертификатов в цепочке не актуален Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя программы: browser.exe Путь к программе: C:\Users\ПК\AppData\Local\Yandex\YandexBrowser\Application Компонент: Веб-Антивирус Описание результата: Запрещено Имя объекта: www.doubleclickbygoogle.com Причина: Этот сертификат или один из сертификатов в цепочке не актуален. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 17 ноября, 2021 Share Опубликовано 17 ноября, 2021 14 часов назад, Odyssey Noire сказал: пару раз всплывали эти На каких сайтах, не обратили внимания? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.