PowerShell пытается перейти по вредоносной ссылке

[L4H 0]

Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:
 

Событие: Переход остановлен
Пользователь: AMENO\Heller
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=g7LVNEq_1790
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Вчера, 23.11.2021 19:43:00

Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
KVRT и CureIt ничего не нашли.

Помогите решить проблему, пожалуйста.

CollectionLog-2021.11.23-23.54.zip

[akoK 136]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\WindowsColorSystem\WindowsColorSystem');
 RebootWindows(true);
end.

 

Компьютер перезагрузится.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено 23 ноября, 2021 пользователем akoK

[L4H 0]

Сделала, вот отчеты.

FRST.txt Addition.txt

[Sandor 1 163]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1163552212-2536915812-2746443528-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  AutoConfigURL: [{0EC85377-90FE-4529-A7BD-15470B8E90AD}] => hxxps://antizapret.prostovpn.org/proxy.pac
  Hosts:
  FirewallRules: [{E89B3CB0-8441-4F65-B64A-7FDE90D9938F}] => (Allow) LPort=5357
  FirewallRules: [{7F73B9E2-9270-42F4-92EF-6290606D652B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[L4H 0]

Готово!

Fixlog.txt

[Sandor 1 163]

Проблема решена?

[L4H 0]

1 час назад, Sandor сказал:

Проблема решена?

Да, антивирус больше не сообщает о попытках перехода по ссылкам.
Большое спасибо за помощь!

[Sandor 1 163]

В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[L4H 0]

Спасибо, сделала:
 

SecurityCheck.txt

[Sandor 1 163]

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.864.17763.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5004244 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.1.5 Внимание! Скачать обновления
LibreOffice 6.1.3.2 v.6.1.3.2 Внимание! Скачать обновления
Evernote v. 6.24.2 v.6.24.2.8919 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 6.2 v.6.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8 YNDX007 v.2.4.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.1.6 v.4.1.6 Внимание! Скачать обновления
µTorrent v.3.2.3.28705 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.13.1887, 19.02.2017 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.0.0 v.14.0.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.321 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 29 PPAPI v.29.0.0.171 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Yandex Team Messenger 2.48.0 v.2.48.0 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.92.0.4515.159 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Pale Moon 29.4.1 (x86 en-US) v.29.4.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
3D Youtube Downloader - Batch v.2.12.10 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

 

Постарайтесь всё выше указанное исправить.

Читайте Рекомендации после удаления вредоносного ПО