Срабатывает Web защита

[pavlik-the]

Попробуйте выключить все расширения в браузерах, которые у Вас установлены на ПК.

Здравствуйте! Не могли бы вы пояснить?

1. Каким образом расширения для браузера могут быть связаны с попытками моего компьютера подключиться к сайтам, внесённым в Blacklist?
Я использую браузеры Firefox и Tor. Плюс ещё есть Edge, которым я не пользуюсь от слова совсем.
- В Tor и Edge я не использую расширения
- В Firefox использую 3 расширения: Google Translator for Firefox, Avast Online Security, Adblock Plus.

2. В Firefox есть 2 возможности:
- Можно "выключить" расширения с помощью бегунка. Расширения при этом остаются в списке расширений, но типа отключаются.
- Можно удалить расширение из списка расширений.
См. приложенную картинку.
Какой вариант правильный?

[amiga3]

- В Firefox использую 3 расширения: Google Translator for Firefox, Avast Online Security, Adblock Plus.

2. В Firefox есть 2 возможности:
- Можно "выключить" расширения с помощью бегунка. Расширения при этом остаются в списке расширений, но типа отключаются.
- Можно удалить расширение из списка расширений.
См. приложенную картинку.
Какой вариант правильный?

Эти расширения точно не виновники "торжества". Можете их не отключать, а если хотите всё-таки их убрать, то можно и просто отключить или удалить, без разницы. После этого нужно перезапустить браузер.

[j.bonzo]

Мне так никто тут толком не подсказал как найти этого паразита. Сканирование ни Авастом ни другими антивирусами и антируткитами ничего не дали. К сожалению, я смог выявить только последствия запуска PowerShell скрипта включив логирование , как подсказали выше. Но из логов неясно кто запускает этот скрипт. Скорее всего какой-то майнер поселился, но вычислит его пока не могу.   На данный момент я просто запретил эти сайты на системном уровне добавив в файл c:\Windows\System32\drivers\etc\hosts вот эти строки:
0.0.0.0 28652425.com
0.0.0.0 22471394.com
0.0.0.0 12323439.com

Я Вам предлагал через файл журнала WebShield и поиск по отрезку времени определить изменения в системе, вызванные "периодически устанавливаемыми и удаляемыми разными программами".
Среди этих программ (вольно или невольно) на свою беду Вы накликали Baidu.
Все три URL переадресовывают на хттпс://hm.baidu.com/hm.js?bd3e7cf142c59905cd30abcec611f180
Так что, Cherchez la Baidu!

П.С. Сканировать систему AdwCleaner не пробовали?
https://www.comss.ru/page.php?id=1309

[amiga3]

Я Вам предлагал через файл журнала WebShield и поиск по отрезку времени определить изменения в системе, вызванные "периодически устанавливаемыми и удаляемыми разными программами".

Идея, если честно, не очень реализуемая. Ну определил я день когда первый раз скрипт стал долбиться к китайцам (по отчёту Аваста). И что дальше? Как вы себе представляете "определить изменения в системе, вызванные "периодически устанавливаемыми и удаляемыми разными программами"."? В этот день я несколько программ устанавливал и удалял. Это тысячи файлов. И совсем не значит, что дата их файлов датирована этим днём.

Среди этих программ (вольно или невольно) на свою беду Вы накликали Baidu.
Все три URL переадресовывают на хттпс://hm.baidu.com/hm.js?bd3e7cf142c59905cd30abcec611f180
Так что, Cherchez la Baidu!

Так это понятно. Никто от поимки вируса не застрахован. С таким же успехом можно было и переадресацию на Яндекс поймать. Вопрос как найти этот вирус и удалить его? Нахрена нужны такие антивирусы, которые поймать его не могут?

П.С. Сканировать систему AdwCleaner не пробовали?

И не только им, ещё несколькими антивирусами и антируткитами. Я ж написал выше. Результатов ноль. Остаётся только вручную ловить. Я вижу логи запуска и работы ps-скрипта через который этот вирус лезет на эти сайты. Там ещё и код в зашифрованном виде присутствует. Отчёт я выше прикладывал. Вопрос как найти того, кто его запускает?

[j.bonzo]

Идея, если честно, не очень реализуемая. Ну определил я день когда первый раз скрипт стал долбиться к китайцам (по отчёту Аваста). И что дальше? Как вы себе представляете "определить изменения в системе, вызванные "периодически устанавливаемыми и удаляемыми разными программами"."? В это день я несколько программ устанавливал и удалял. Это тысячи файлов. И совсем не значит, что дата их файлов датирована этим днём.

В параметрах поиска выбираете "Дата между". Вводите диапазон, скажем 5 мин или любой другой, но небольшой.
Например, как на скришоте.

Я вижу логи запуска и работы ps-скрипта через который этот вирус лезет на эти сайты.

Вирус это или не вирус пока что неизвестно.
Если Вы подозреваете заражение, то обратитесь сюда:
https://forum.avast.com/index.php?board=4.0

[Игорь Н.]

На всякий случай проверьте записи во всех ветках Autorun и Autoruns реестра.

[amiga3]

На всякий случай проверьте записи во всех ветках Autorun и Autoruns реестра.

Это первое что сделал. Утилитой Autoruns. Ничего подозрительного не увидел.  На самом деле всё не так просто. Мониторингом процессов с вылавливанием родителя обнаружил, что скрипт запускается каким-то системным сервисом, который, видимо, либо заражён, либо подменен. Понять каким пока не удалось. Проверка по датам тоже, конечно, ничего не дала, только массу времени убил. Видимо, хакеры не настолько тупы, чтобы не оставить дату файла как у оригинала. Проверял комп несколькими антишпионскими утилитами (DrWeb CureIt, ADWCleaner, Unhackme, Malwarebytes), они ничего явного не нашли. По логам powershell по прежнему вижу, что по несколько раз в день кто-то пытается через запуск скрипта залезть на китайские сайты. Слава богу, что hosts надёжно это блокирует.

[j.bonzo]

"... Проверка по датам тоже, конечно, ничего не дала, только массу времени убил."

Зачем массу времени убил?
Освежу Вашу память...

Посмотрите в журнале веб-экрана дату и время первого сообщения о блокировании.
После этого можно произвести поиск созданных и измененных файлов по имени *.* в небольшом временном интервале.

Цель - найти программу, после установки которой все началось.
Вы же сами писали в 1-ом посте: "Периодически устанавливаю и удаляю разные программы."

...Видимо, хакеры не настолько тупы, чтобы не оставить дату файла как у оригинала.

Поясните Вашу мысль в контексте файловой системы NTFS, системных меткок времени в формате UTC и т.д.

[Игорь Н.]

На всякий случай проверьте записи во всех ветках Autorun и Autoruns реестра.

Это первое что сделал. Утилитой Autoruns. Ничего подозрительного не увидел...

Как-то подобное мне вылечил Kaspersky Live-CD.
Контрольно можно прогнать и с помощью NOD32 Live-CD.
Может, оба и не помогут, но соломинкой лишней не станут.

[amiga3]

Поясните Вашу мысль в контексте файловой системы NTFS, системных меткок времени в формате UTC и т.д.

Метки времени у файла в системе можно легко поменять разными способами, напр., через тот же Powershell, а программным путём и подавно.

Может, оба и не помогут, но соломинкой лишней не станут.

Ну, глобально решить проблему то можно даже проще, напр., Windows переставить. Есть ещё с десяток rescue-дисков. Но хотелось бы локально, вычислить паразита. Но спасибо за рекомендации.

В принципе я нашёл где запускается этот скрипт с червяком. Поиск по сигнатурам зашифрованного кода помог. Сценарий стартовал из ветки Task Scheduler из папки Виндовских заданий DeviceDirectoryClient. Скрипт запускался каждые 20 мин., а на сайты лез случайным образом несколько раз в день в результате выполнения шифрованного кода. Отключил. Теперь больше не донимает. Единственное осталось не понятным кто этот сценарий задания модифицировал. Но, честно говоря, уже надоело с этим возиться. Наверно закончу на этом. Всем спасибо за помощь.

UPD. Посмотрел на другом компе с такой же сборкой Windows 10 Pro. Там вообще нет системных заданий DeviceDirectoryClient в Планировщике, и даже такой папки в c:\Windows\System32\Tasks\Microsoft\Windows\.  У меня же папка есть и в ней, кроме этого сценария DeviceDirectoryClient (файл с xml-разметкой) ещё 12 других сценариев с датами год назад. Интересно откуда они взялись, для чего они нужны и кто их создал? Гугл ничего на этот счёт не прояснил.   Посмотрите есть ли у вас эта папка и, если есть, что в ней?

[Игорь Н.]

Посмотрите есть ли у вас эта папка и, если есть, что в ней?

Windows 7 Ultimate: Такой папки нет.

[amiga3]

Windows 7 Ultimate: Такой папки нет.

В Windows 7 понятно что нет. Это "фишки" Win 10, и то вроде как с определённой версии. Спасибо. Вот странно, что на другом компе с той же версией и сборкой Win 10 Pro, её тоже нет.