Срабатывает Web защита

[amiga3]

Периодически срабатывает Web защита Avast, даже когда все программы (в том числе и браузер) закрыты. Кроме тех, что в панели задач. Как вычислить паразита? Началось несколько дней назад. Периодически устанавливаю и удаляю разные программы.
Адрес сайта (циферки) всё время разный. Выскакивает в разное время случайным образом, поэтому задача в планировщике, видимо, исключается.

[_George_]

Попробуйте выключить все расширения в браузерах, которые у Вас установлены на ПК.

[amiga3]

Эти запросы появляются даже когда ни один браузер не запущен, и даже если вообще браузеры не запускать после перезагрузки. Да и никакие дополнительные расширения я не ставил за последние несколько месяцев. А запросы появились лишь несколько дней назад. До этого ничего не выскакивало. Так что, скорее всего, дело не в расширениях. Такое впечатление, что какой-то майнер поселился. Ставил в последнее время только пару старых игр. Игры уже удалил, но, похоже, какой-то паразит остался.  Чем бы проверить систему на руткиты и майнеры? Сканирование в Avast ничего не находит.

[Ivanych]

Зайдите по ссылке
https://onoutbukax.ru/delete-hide-miner/
Читайте и делайте строго по порядку !

[_George_]

Не верь глазам своим. Сделайте, что Вам сказали.

[Ivanych]

Чем бы проверить систему на руткиты и майнеры? Сканирование в Avast ничего не находит.

Зайдите по ссылке
https://ucompa.ru/computer/chto-takoe-rutkit-i-kak-predotvratit-zarazhenie-rutkitom
Почитайте и проверьте свой компьютер.

[j.bonzo]

Периодически срабатывает Web защита Avast, даже когда все программы (в том числе и браузер) закрыты. Кроме тех, что в панели задач. Как вычислить паразита? Началось несколько дней назад. Периодически устанавливаю и удаляю разные программы...

Возможно информация ниже поможет определить направление, в котором надо "копать"...
1. Оба Url со скриншотов на вирустотал не вызывают подозрений на данный момент, хотя занесены Авастом в черные списки.
https://www.virustotal.com/gui/url/989c8fa5f8c692e3cfdb2942cfc2e46442d24babdb9e669808edefffeb4863de/detection
https://www.virustotal.com/gui/url/5425ebfdf6c630cae0aa867d834d313410e2d63573dcf7ebd016287541a0d1b9/detection
2. При выполнении команды ping по этим URL выводится один и тот же IP - 8.210.119.33.
На вирустотал этот IP тоже не имеет негативной рекации.
https://www.virustotal.com/gui/url/a7c0c751526df3b67551460165a1613eb3e3cb0f76cf76afd7db0523bdc6a670/detection
Информация об IP:
IP    8.210.119.33
Хост:    8.210.119.33
Город:    Не определен
Страна:    United States
IP диапазон:    8.208.0.0 - 8.223.255.255
CIDR:    8.208.0.0/12
Название провайдера:    ASEPL-SG
inetnum: 8.208.0.0 - 8.223.255.255
netname: ASEPL-SG
descr: Alibaba.com Singapore E-Commerce Private Limited
country: SG

Похоже, что какая-то из "периодически устанавливаемых и удаляемых разных программ" прописала скрипт для PowerShell и компьютер периодически пытается соединиться с Alibaba Cloud.

[amiga3]

Похоже, что какая-то из "периодически устанавливаемых и удаляемых разных программ" прописала скрипт для PowerShell и компьютер периодически пытается соединиться с Alibaba Cloud.

Спасибо за понятный и адекватный ответ. Я тоже так думаю. Запускается этот скрипт по времени совершенно случайным образом, может подряд в течении нескольких минут возбудиться, а может и весь день не проявлять себя, а затем запуститься. Остаётся найти где прописан этот скрипт и кто и как его запускает. Вот с этим, как-раз, и проблемы. Не могу понять как и где его искать. Если мониторить процессы, то иногда (редко) появляется на несколько секунд процесс powershell, но не всегда после этого выскакивает блокировка web-защиты Avast. Возможно не все URL, которые генерит этот скрипт, в чёрном списке Avast, или это вообще про другое.

[j.bonzo]

...как и где его искать...

Посмотрите в журнале веб-экрана дату и время первого сообщения о блокировании.
По-моему (!): для XP - C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\report\WebShield.txt
Для более свежих ОС - C:\ProgramData\AVAST Software\avast\report\WebShield.txt
После этого можно произвести поиск созданных и измененных файлов по имени *.* в небольшом временном интервале.
Может это что-то даст?

[all_regs_mail]

Похоже, что какая-то из "периодически устанавливаемых и удаляемых разных программ" прописала скрипт для PowerShell и компьютер периодически пытается соединиться с Alibaba Cloud.

Спасибо за понятный и адекватный ответ. Я тоже так думаю. Запускается этот скрипт по времени совершенно случайным образом, может подряд в течении нескольких минут возбудиться, а может и весь день не проявлять себя, а затем запуститься. Остаётся найти где прописан этот скрипт и кто и как его запускает. Вот с этим, как-раз, и проблемы. Не могу понять как и где его искать. Если мониторить процессы, то иногда (редко) появляется на несколько секунд процесс powershell, но не всегда после этого выскакивает блокировка web-защиты Avast. Возможно не все URL, которые генерит этот скрипт, в чёрном списке Avast, или это вообще про другое.

если 10ка можете попробовать включить логирование powershell
конфигурация компьютера > административные шаблоны > компоненты windows > windows powershell > включить транскрипции powershell
включите и укажите путь к выходному файлу

[amiga3]

если 10ка можете попробовать включить логирование powershell

Спасибо за подсказку. Логирование включил. Теперь вижу что кто-то запускает powershell скрипт, который пытается залезть на эти сайты. Только вот из логов всё-равно не понятно кто запускает скрипт и откуда. Вот как бы это узнать?

[all_regs_mail]

Спасибо за подсказку. Логирование включил. Теперь вижу что кто-то запускает powershell скрипт, который пытается залезть на эти сайты. Только вот из логов всё-равно не понятно кто запускает скрипт и откуда. Вот как бы это узнать?

Заархивируйте лог, (поставьте пароль, если нужна конф.)  прикрепите файл, скиньте пароль в ЛС

[amiga3]

Да ничего конфиденциального в логе нет. Заметил в отчёте Avast что этот скрипт лезет только на несколько сайтов. Запретил их в hosts. Но хотелось бы всё-таки вычислить паразита.

[pavlik-the]

Здравствуйте!
У меня такая же проблема, как у ТС. Аваст постоянно показывает окошки о том, что прервано подключение к такому-то сайту.
Всего сайтов три:
28652425 (точка ком)
22471394 (точка ком)
12323439 (точка ком)

Как с этим бороться?

[amiga3]

Как с этим бороться?

Мне так никто тут толком не подсказал как найти этого паразита. Сканирование ни Авастом ни другими антивирусами и антируткитами ничего не дали. К сожалению, я смог выявить только последствия запуска PowerShell скрипта включив логирование , как подсказали выше. Но из логов неясно кто запускает этот скрипт. Скорее всего какой-то майнер поселился, но вычислит его пока не могу.   На данный момент я просто запретил эти сайты на системном уровне добавив в файл c:\Windows\System32\drivers\etc\hosts вот эти строки:
0.0.0.0 28652425.com
0.0.0.0 22471394.com
0.0.0.0 12323439.com
Сохранил и перегрузил систему. Сайтов действительно три, но скрипт случайным образом обращается к ним. Теперь веб-экран AVAST больше ничего не показывает, т. к. блокировка происходит до него.