Malwarebytes блокирует постоянно файл system с ip адресом

**DYaDYa Fedor** · 24.11.2021, 02:06

Доброго времени суток, у меня возникла какая-то проблема, антивирус постоянно блокирует файл system с разными айпи адресами и при этом пишет что заблокировано троянскою программу. Помогите пожалуйста решить проблему.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.11.2021, 02:07

Уважаемый(ая) DYaDYa Fedor, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 24.11.2021, 07:53

Прочитайте правила оформления запроса о помощи и сделайте логи по ним.

**DYaDYa Fedor** · 30.11.2021, 16:52

Простите, не уследил.

**Vvvyg** · 30.11.2021, 18:01

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Public\Desktop\TLauncher.lnk"       -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mortal Kombat XL\Uninstall Mortal Kombat XL.lnk"    -> ["D:\Games\Mortal Kombat XL\Uninstall\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Factorio [GOG.com]\Удалить Factorio.lnk"  -> ["C:\GOG Games\Factorio\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Factorio [GOG.com]\Factorio.lnk"          -> ["C:\GOG Games\Factorio\bin\x64\factorio.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\ArtMoney SE v8.00.lnk"        -> ["C:\Games\ArtMoney\am800.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Руководство пользователя.lnk"           -> ["C:\Games\ArtMoney\Help\russian.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Посетить сайт ArtMoney.lnk"   -> ["C:\Games\ArtMoney\artmoney_rus800.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Регистрация ArtMoney через Интернет.lnk"          -> ["C:\Games\ArtMoney\register_rus.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\ArtMoney PRO v8.09.lnk"      -> ["C:\Games\ArtMoney\am809.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"           -> ["C:\Users\Default\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]

Отчёт о работе прикрепите.

Приведите лог Malwarebytes с блокировками, желательно в текстовом виде.

Сделайте лог Malwarebytes AdwCleaner.

**DYaDYa Fedor** · 30.11.2021, 20:09

Вот зделал.

**Vvvyg** · 30.11.2021, 21:27

А лог Malwarebytes AdwCleaner?

**DYaDYa Fedor** · 01.12.2021, 00:12

Простите, делаю все спеша, и забываю некоторые нюансы.

**Vvvyg** · 01.12.2021, 07:41

Ничего вредоносного не видно.
Мы не рекомендуем Malwarebytes для использование в качестве антивируса с постоянной защитой, только для проверок в бесплатном варианте, много ложных срабатываний.
Покажите лог Malwarebytes с угрозами, желательно в текстовом виде.

**DYaDYa Fedor** · 01.12.2021, 14:00

Та я сам проверял, и делал глубокую проверку и тоже нечего не обнаружил, но мне постоянно выскакивает сообщение что заблокирован веб сайт с разными айпи адресами.

Вот лог. И фотография из истории блокировок. А еще я скажу, у меня на ноутбуке тоже стоит мальвер байтс с активной защитой, но там ничего подобного нету, и это очень странно.

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 01.12.2021
Время проверки: 12:55
Файл журнала: 215d09d4-5295-11ec-969c-0002720ea5f8.json

-Информация о ПО-
Версия: 4.4.10.144
Версия компонентов: 1.0.1499
Версия пакета обновления: 1.0.47960
Лицензия: Premium-версия

-Информация о системе-
ОС: Windows 10 (Build 19044.134

Процессор: x64
Файловая система: NTFS
Пользователь: DESKTOP-948AO93\Fedya

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 382459
Обнаружено угроз: 0
Помещено в карантин: 0
Затраченное время: 4 мин, 13 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
Потенциально нежелательная программа: Обнаружение
Потенциально нежелательное изменение (PUM): Обнаружение

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 0
(Вредоносные программы не обнаружены)

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 0
(Вредоносные программы не обнаружены)

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)

(end)

**Vvvyg** · 01.12.2021, 16:41

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**DYaDYa Fedor** · 01.12.2021, 21:26

Архив не появился, но появились 3 файла.
Вот ссылка: https://drive.google.com/drive/folde...5l?usp=sharing

**Vvvyg** · 01.12.2021, 22:10

Сообщение от DYaDYa Fedor

Архив не появился

Потому что, видимо, не из папки Autologger запускали AVZ, но уже неважно.

ip адрес со скриншота и вправду нехороший. И что к нему обращается, неясно.

Сделайте проверку с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

**DYaDYa Fedor** · 02.12.2021, 13:15

Вот, сделал. Но он так мало весил, что наверное можно было обойтись и без архива.
И там был только один файл.

**Vvvyg** · 02.12.2021, 14:01

Не в архиве не прикрепился бы файл.

Кроме активатора ничего.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**DYaDYa Fedor** · 02.12.2021, 15:27

Вот сделал все как надо.

**Vvvyg** · 02.12.2021, 16:25

Ничего подозрительного.
Именно по сетевым предупреждениям Malwarebytes доверять на 100% не стоит, на совершенно нормальный обмен бывают алерты.

Снесите, установите, хотя бы на время, Dr. Web, KIS или что-то другое, проверьте, будут ли подобные предупреждения.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**DYaDYa Fedor** · 06.12.2021, 14:08

Скачал доктор веб, и просканировал он обнаружил одну программу которая не вредоносна и ошибку в файле "hosts"
Не могло б это быть причиной постоянной блокировки и сообщения? (поврежденный файл "hosts") ?

**Vvvyg** · 06.12.2021, 14:57

Dr. Web CureIt! не проверяет сетевой трафик, это утилита лечения, а не полноценный антивирус.

**DYaDYa Fedor** · 08.12.2021, 16:04

Я установил касперский, он поработал пару дней у меня, параллельно жрал много ресурсов, и ничего не выявил. А может это в самом из браузеров, недавно чистил кеш куки в "гугл хроме" сегодня почистил в "едже", уже не знаю что еще можно сделать, и антивирус блокирует каждый день в рандомное время пачками по 3-5 сообщений в один промежуток времени а потом тишина.
(Это не похоже на ложные срабатывание, так как у меня на ноутбуке уже 2 года стоит этот антивирус в качестве основного и ничего подобного не было.)

Malwarebytes блокирует постоянно файл system с ip адресом (заявка № 227373)

Опции темы