Решена Осторожно, поддельный сайт!

Статус
В этой теме нельзя размещать новые ответы.

hsn

Новый пользователь
Сообщения
8
Реакции
0
В гугл хром выдает красную карточку:
Осторожно, поддельный сайт!
Посещение сайта unanalytics.com может привести к установке вредоносного ПО или хищению личной информации (например, паролей, телефонных номеров и данных банковских карт). Подробнее…

Выходит как на рабочем так и на домашнем компе.
Чистил хром куки, кэши, сбрасывал настройки хрома.
Чистил AdwCleaner.
 

Вложения

  • AdwCleaner[C00].txt
    1.5 KB · Просмотры: 2
  • AdwCleaner[S00].txt
    5.1 KB · Просмотры: 3
  • CollectionLog-2018.05.10-09.02.zip
    78.1 KB · Просмотры: 4
Здравствуйте!


У меня тоже выдает. Вы считаете, что это неправильно?
Думаю да! Возможно что-то сидит и перенаправляет на другие сайты. Раньше так не выдавало, на других компьютерах на работе такое не выходит.
 
Думаю нет. Сайт странный, в начале стоит редирект на ww1 и ww12 unanalytics.com, в коде здоровый кусок пошифрованный base64. При том, что на ww1 выводит заглушку о парковке домена с кодами, а во втором случае просто рубит соединение.

Вывод, проблема не в системе, а "похаканом" сайте и заглушка установлена правильно. Владелец может посмотреть подробности замечаний от поисковой системы в кабинете вебмастера Google для веб-мастеров – поддержка, обучение, взаимодействие и использование Search Console – Google, а после исправления проблемы запросить перепроверку
++
Нужно будет с антивирусными компаниями поработать
VirusTotal

Кстати сайт известен как вредоносный довольно давно.
 
А теперь к лечению.
Driver Booster - лучше динсталировать
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Duplicaterecord.js','');
 DeleteFile('C:\ProgramData\Duplicaterecord.js','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633','x64');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2-32 - HKLM\..\BHO: (no name) - {551A852F-39A6-44A7-9C13-AFBEC9185A9D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: BaiduAntivirusIconLock - {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} - (no file)
O22 - Task: (disabled) 060184C3-9766-46a0-B258-F4518A0B2633 - C:\Windows\system32\CScript.exe "C:\ProgramData\Duplicaterecord.js"

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • 2018-05-10_11-28-29.png
    2018-05-10_11-28-29.png
    19.3 KB · Просмотры: 165
Если внимательно прочесть, то в предупреждении нет упоминания о вирусинфо. У вас вредоносное ПО которое редиректит на зараженный сайт.
 
++++
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Вложения

  • Shortcut.txt
    128 KB · Просмотры: 0
  • FRST.txt
    108.4 KB · Просмотры: 1
  • Addition.txt
    69.2 KB · Просмотры: 1
  • AdwCleaner[S01].txt
    4.7 KB · Просмотры: 2
Последнее редактирование модератором:
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\Program Files (x86)\Android_USB_Driver_Z\Bin\MonServiceUDisk.exe;C:\Program Files (x86)\Browny02\BrYNSvc.exe; C:\WINDOWS\Wiainst.exe
File:  C:\Program Files\Psi\Psi.exe; C:\WINDOWS\Wiainst.exe
HKU\S-1-5-21-41814373-2756865464-3648712676-1000\...\Policies\Explorer: [HideSCAVolume] 1
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
Toolbar: HKU\S-1-5-21-41814373-2756865464-3648712676-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
Task: {B9198979-A2BE-4101-9A04-196A224475F2} - \060184C3-9766-46a0-B258-F4518A0B2633 -> No File <==== ATTENTION
Task: {E6CD050C-D057-4C04-AD87-F6967A524838} - System32\Tasks\Driver Booster SkipUAC (ОТ) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
C:\Program Files (x86)\IObit\Driver Booster\
AlternateDataStreams: C:\WINDOWS\Wiainst.exe:$CmdTcID [64]
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Кстати тоже самое выходит и на домашнем компьютере. Хром синхронизируется по учетной записи.
 
Только в хроме проблема?
 
+
Отчеты об очистке в AdwCleaner и Frst покажите.
 

Вложения

  • AdwCleaner[C02].txt
    4.4 KB · Просмотры: 2
  • Fixlog.txt
    5.8 KB · Просмотры: 2
Последнее редактирование модератором:
Результат сообщите.
1 час отработал, не выходило сообщения. Отключаюсь, завтра продолжим
+++
Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ а логи работы упакуйте в архив и прикрепите к теме.
тоже заватра, электричество на работе обрубают.
 
Похоже проблема в расширении "Продвинутая история".
смотреть тут. На домашнем компе проблема решилась. Завтра отпишусь по рабочему компу.
 
Ну и отлично, опередили нас на шаг.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу