Перейти к содержанию

Возможна неправомерная загрузка ПО


Рекомендуемые сообщения

Привет добрый специалист.

Месяца 2 назад я схлопотал вирус по ссылке.

Попытался решить проблему но проблема оставалась

касперский оповещал о попытках скачивания ПО с сайта [ссылка]

 

14 минут назад, D_S сказал:

Привет добрый специалист.

Месяца 2 назад я схлопотал вирус по ссылке.

Попытался решить проблему но проблема оставалась

касперский оповещал о попытках скачивания ПО с сайта [ссылка]

 

 

CollectionLog-2022.04.27-14.01.zip

Изменено пользователем Sandor
Убрал ссылки
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

AdwCleaner[S01].txtClearLNK-2022.04.27_15.20.45.logAdwCleaner[C01].txt

 

Есть отчет за 05.03.22

"AdwCleaner[S00].txt"

AdwCleaner[S00].txt

 

отчет каспера

tttttt.txt

Изменено пользователем D_S
Ссылка на сообщение
Поделиться на другие сайты

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Users\D\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\D\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    StartBatch:
      pushd c:\windows\system32
      bcdedit.exe /set {default} recoveryenabled yes
      net stop bits
      net stop cryptSvc
      net stop wuauserv
      net stop msiserver
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
      netsh winsock reset catalog
      netsh int ipv4 reset reset.log
      netsh int ipv6 reset reset.log
      ipconfig /release
      ipconfig /renew
      ipconfig /flushdns
      ipconfig /registerdns
      net start bfe
      net start bits
      net start cryptSvc
      net start eventsystem
      net start msiserver
      net start rpcss
      net start sdrsvc
      net start trustedinstaller
      net start vss
      net start winmgmt
      net start wuauserv
      bitsadmin /list /allusers
      bitsadmin /reset /allusers
    EndBatch:
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Такое ощущение будто залезли в групповую политику и порезали права, когда перешел по ссылке (когда началась вся эта канетель месяц или 2 назад)

Fixlog.txt

Изменено пользователем D_S
Ссылка на сообщение
Поделиться на другие сайты

Например: если перехожу по ссылке https://animego.space/1514-spriggan/animego.org#

то каспер выдает bbbb.txt

т.е. так бывает на некоторых сайтах. если это норма, то все хорошо, вроде

Ссылка на сообщение
Поделиться на другие сайты
А этот язык где Start:: и End::

это язык FRST?

или язык терминала

 

как этому научиться?))

 

тогда, спасибо вам огромнейшее. добрых дней, счастливых праздников

Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, D_S сказал:

это язык FRST?

Да, но с его помощью можно также выполнять и различные системные команды.

 

14 минут назад, D_S сказал:

как этому научиться?

Попробуйте самостоятельно.

 

В завершение:

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck.txt

 

меня настораживает, что каспер отсылается на ссылку "https://brocode1s.com/code"

кст. сейчас я не открывал ссылки, печаzzzz.txtтал этот текст и вышло снова опевещение

что мол туда идет запрос на переход, видимо, когда включен браузер с каким то интервалом времени.

в самом начале проблемы браузер открывал ссылки на рекламу, если я не ошибаюсь. работал я в мозиле 

 

можно конечно добавить эту ссылку в hosts

но эт какое то сомнительное решение

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, D_S сказал:

если я не ошибаюсь. работал я в мозиле

Для верности сделайте Сброс настроек FireFox.

 

Проверьте появляется ли подобное в MS Edge.

 

По отчёту:

--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.26 v.6.1.26 Warning! Download Update
GitHub Desktop v.2.9.4 Warning! Download Update
Microsoft Office Профессиональный плюс 2007 v.12.0.4518.1014 Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
Microsoft Office Professional Plus 2007 v.12.0.4518.1014 Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Warning! Ad-supported P2P-client.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Warning! Download Update
Uninstall old version and install new one (jre-8u331-windows-x64.exe).
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.3.5 Standard v.16.3.5 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Microsoft Edge v.100.0.1185.36 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.83 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
 

 

По возможности исправьте перечисленное выше.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alandish
      От alandish
      Здравствуйте.

      Довольно давно уже я обратил внимание, что система работает медленнее, но не придавал этому значения.
      А на днях совершенно неожиданно в моих наушниках раздался голос постороннего человека. Из программ были открыты только telegram (в трее) и браузер с единственной вкладкой хорошо знакомого мне сайта. На пролезшую рекламу голос был не похож.
       
      В установленных приложениях обнаружил программу Remote Desktop Connection, возможно прилетела с одним из обновлений Windows. Эту программу я удалил.
       
      Из другого, заметил в Event Viewer-е что журнал приложений очищен до даты когда раздался голос, а системные процессы svchost.exe MpDefenderCoreService.exe MsMpEng.exe устанавливают соединение с ip-адресами, имеющими негативный рейтинг на virustotal и которые находятся в базе abuseipdb, такими как    224.0.0.252    239.255.255.250    52.113.194.132    204.79.197.203
       
      Помогите пожалуйста разобраться, установлено ли вредоносное ПО на моём компьютере.
      CollectionLog-2024.05.29-15.10.zip
    • NNN123
      От NNN123
      Здравствуйте. Собственно, решила установить пиратскую версию игры. В первый день, когда я это сделала, нашла в отчётах что Касперский обнаружил и (!)остановил(!) загрузку not-a-virus:HEUR:AdWare.Script.Generic. Продолжила эпопею с установкой, использовала Google Chrome с расширениями с блокировкой рекламы и VPN, отключала защиту Касперского. Установила что было нужно, включила защиту и потом заметила, что Касперский начал блокировать какие-то рекламные баннеры (преимущественно что-то связанное с Яндекс.Дзеном) и объекты веб-контента, когда я захожу и делаю какие-либо действия в браузере, (сейчас сижу только с одного — Microsoft Edge, никаких расширений на нём нет. Главная страница у меня теперь отображается Яндекс), при этом, не выявляя никаких угроз. Проверяла с помощью Kaspersky Virus Removal Tool и, на всякий случай, Dr.Web CureIt!, тоже ничего не обнаружили. Может быть, я зря беспокоюсь и у меня ничего нет, а так и должно быть? Я пыталась сама решить эту проблему и даже делала откат системы на день назад, когда только первые файлы игры установила, ни к каким результатам не пришла. Прошу помощи, совета, мнения со стороны, что это такое и нормально ли это. Благодарю за уделённое внимание.
       

      CollectionLog-2024.05.09-20.48.zip
    • ArturReich
      От ArturReich
      При печатании в адресной строке rutor. info касперский выдает уведомление

      Event: Download denied
      User: *****
      User type: Active user
      Application name: chrome.exe
      Application path: C:\Program Files\Google\Chrome\Application
      Component: Web Anti-Virus
      Result description: Blocked
      Type: Probability of unauthorized software download
      Name: https://absoluteroute.com/bens/vinos.js?24105&u=null&a=0.886807717754271
      Threat level: High

      Или при заходе на сам сайт начинает мигать страница(загружаются и выгружаются скрипты как я понял) и Касперский выдает такой же репорт
      Проверял Adw-шкой - 0
      Проверил FRST - понял что там есть расширение у меня в хроме, которого на самом-то деле у меня нет, но как правильно fix написать я не знаю, как я понимаю нужно только его удалить и все будет отлично.

      Удивительно как эта хрень попала на мой комп, хотя у меня стоит лицензионный касперский, по ходу Хром уж очень дырявый

      Буду благодарен за помощь!
      FRST.txt Addition.txt
    • vplayer
      От vplayer
      Здравствуйте. Касперски Тотал обнаружил две проблемы.  
       
      Событие: Загрузка остановлена
      Пользователь: ANDREYPC-SSD\HAV27
      Тип пользователя: Активный пользователь
      Имя программы: msedge.exe
      Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: https://absoluteroute.com/bens/vinos.js?24105&u=16628886042292839294&a=0.30646717841474325
      Степень угрозы: Высокая
       
      Событие: Обнаружено SSL-соединение c недействительным сертификатом
      Тип пользователя: Не определено
      Имя программы: msedge.exe
      Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Имя объекта: sync.s13.icontextdev.ru
      Причина: Недопустимое имя сертификата.  Имя не включено в список разрешенных или явно исключено из него. 
       
      Тип: Возможна неправомерная загрузка ПО - это срабатывает только в одном браузере M Edge. Удалял папку Temp. стирал куки, отключал расширения в Edge - нет эффекта..
      Проверил KWRT и Cureit -найденное удалил.. Проверил Avtologgerом-вот отчет.. Прощу помочь!
       
      CollectionLog-2022.09.19-11.02.zip
    • ahawk
      От ahawk
      Добрый день. В продолжени темы
      Собрал лог на стационарном компьютере. Лог во вложении.
      CollectionLog-2022.01.15-14.44.zip
×
×
  • Создать...