Обнаружен вредоносный объект

[vetal747]

Добрый день!

Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:

Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Объект: http://pgold.pro/code\1054.js
Причина: Экспертный анализ
 

CollectionLog-2021.11.26-09.55.zip

[Sandor]

Здравствуйте!

 

В подробном отчёте видно на какой файл срабатывает антивирус?

 

Деинсталлируйте неподдерживаемый

Цитата

Adobe Flash Player 32 ActiveX

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[vetal747]

3 часа назад, Sandor сказал:

В подробном отчёте видно на какой файл срабатывает антивирус?

Полная проверка не обнаруживает вирусы, но KSC ежедневно фиксирует угрозу из основного сообщения. Подозреваю что это происходит при использовании пользователем браузера, но на что реагирует KSC непонятно

AdwCleaner[S00].txt

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[vetal747]

 

26.11.2021 в 14:44, Sandor сказал:

• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Информационная панель нажмите Запустить проверку.

Файлов (данных) для удаления не было найдено

AdwCleaner[S01].txt FRST.txt Addition.txt

[Sandor]

26.11.2021 в 13:44, Sandor сказал:

Обратите внимание - C и S - это разные буквы

Не обратили

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  U3 aswbdisk; отсутствует ImagePath
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{63C188F5-F95E-4CDB-8E27-7622331AFD3E}] => (Allow) C:\Users\admin.FGBU46\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe => Нет файла
  FirewallRules: [{07FE3FE4-B154-486C-B020-4BE09A5521F9}] => (Allow) C:\Program Files (x86)\LiteManager Pro - Server\ROMServer.exe => Нет файла
  FirewallRules: [{881D561D-C138-4691-8785-27478C211835}] => (Allow) C:\Program Files (x86)\LiteManager Pro - Server\ROMServer.exe => Нет файла
  FirewallRules: [{0DFAC900-A576-422B-89DA-BE88A1F66CE8}] => (Allow) LPort=1688
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[vetal747]

21 минуту назад, Sandor сказал:

Не обратили

В каталоге С:\AdwCleaner\Logs\ только файлы с индексом S 🤔

Fixlog.txt

Изменено 29 ноября, 2021 пользователем vetal747

[Sandor]

Как правило, после очистки должен появиться отчет с символом [Cxx], то есть Clean.

Сделайте еще раз полную проверку антивирусом Касперского и сообщите результат.

[vetal747]

Полная проверка не обнаруживает ничего, проблема все еще актуальна

Вчерашний лог:

Спойлер

Событие: Обнаружен вредоносный объект
Пользователь: 
Тип пользователя: Активный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files (x86)\Google\Chrome\Application
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 1054.js
Путь к объекту: http://pgold.pro/code
SHA256: A90095044767F97998202BC93ACECB7BABE77D3A76B6C36C721EA5C1C33B1C23
MD5: E76FDABBEB32074930A1E09ABCD215F5
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 30.11.2021 7:15:00

 

После с компьютера был удален Google Chrome и установлен Mozilla Firefox, в результате сегодня снова вредоносный объект:

Спойлер

Событие: Обнаружен вредоносный объект
Пользователь: 
Тип пользователя: Активный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 1054.js
Путь к объекту: http://pgold.pro/code
SHA256: E11BC3DA20563BDD26C13B1789944D665EAC73E865315AE0BC082BA329FBD90D
MD5: 2046AB3E134A1DCD6492598E7C83A959
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 01.12.2021 4:36:00

 

Событие возникает только 1 раз в день, источник по прежнему неизвестен...

[Sandor]

Предположу, что срабатывание происходит при входе на некий зараженный сайт. Проанализируйте историю браузера и попробуйте определить такой сайт.

 

Сделайте такую проверку:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[vetal747]

Сайт найден, спасибо за помощь

[Sandor]

Хорошо.

 

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Отчёт SecurityCheck покажите.