Срабатывает Web защита

Периодически срабатывает Web защита Avast, даже когда все программы (в том числе и браузер) закрыты. Кроме тех, что в панели задач. Как вычислить паразита? Началось несколько дней назад. Периодически устанавливаю и удаляю разные программы.
Адрес сайта (циферки) всё время разный. Выскакивает в разное время случайным образом, поэтому задача в планировщике, видимо, исключается.

Попробуйте выключить все расширения в браузерах, которые у Вас установлены на ПК.

Эти запросы появляются даже когда ни один браузер не запущен, и даже если вообще браузеры не запускать после перезагрузки. Да и никакие дополнительные расширения я не ставил за последние несколько месяцев. А запросы появились лишь несколько дней назад. До этого ничего не выскакивало. Так что, скорее всего, дело не в расширениях. Такое впечатление, что какой-то майнер поселился. Ставил в последнее время только пару старых игр. Игры уже удалил, но, похоже, какой-то паразит остался. :frowning: Чем бы проверить систему на руткиты и майнеры? Сканирование в Avast ничего не находит.

Зайдите по ссылке
https://onoutbukax.ru/delete-hide-miner/
Читайте и делайте строго по порядку !

Не верь глазам своим. Сделайте, что Вам сказали.

Зайдите по ссылке
https://ucompa.ru/computer/chto-takoe-rutkit-i-kak-predotvratit-zarazhenie-rutkitom
Почитайте и проверьте свой компьютер.

Возможно информация ниже поможет определить направление, в котором надо “копать”…

  1. Оба Url со скриншотов на вирустотал не вызывают подозрений на данный момент, хотя занесены Авастом в черные списки.
    https://www.virustotal.com/gui/url/989c8fa5f8c692e3cfdb2942cfc2e46442d24babdb9e669808edefffeb4863de/detection
    https://www.virustotal.com/gui/url/5425ebfdf6c630cae0aa867d834d313410e2d63573dcf7ebd016287541a0d1b9/detection
  2. При выполнении команды ping по этим URL выводится один и тот же IP - 8.210.119.33.
    На вирустотал этот IP тоже не имеет негативной рекации.
    https://www.virustotal.com/gui/url/a7c0c751526df3b67551460165a1613eb3e3cb0f76cf76afd7db0523bdc6a670/detection
    Информация об IP:
    IP 8.210.119.33
    Хост: 8.210.119.33
    Город: Не определен
    Страна: United States
    IP диапазон: 8.208.0.0 - 8.223.255.255
    CIDR: 8.208.0.0/12
    Название провайдера: ASEPL-SG
    inetnum: 8.208.0.0 - 8.223.255.255
    netname: ASEPL-SG
    descr: Alibaba.com Singapore E-Commerce Private Limited
    country: SG

Похоже, что какая-то из “периодически устанавливаемых и удаляемых разных программ” прописала скрипт для PowerShell и компьютер периодически пытается соединиться с Alibaba Cloud.

Похоже, что какая-то из "периодически устанавливаемых и удаляемых разных программ" прописала скрипт для PowerShell и компьютер периодически пытается соединиться с Alibaba Cloud.
Спасибо за понятный и адекватный ответ. Я тоже так думаю. Запускается этот скрипт по времени совершенно случайным образом, может подряд в течении нескольких минут возбудиться, а может и весь день не проявлять себя, а затем запуститься. Остаётся найти где прописан этот скрипт и кто и как его запускает. Вот с этим, как-раз, и проблемы. Не могу понять как и где его искать. Если мониторить процессы, то иногда (редко) появляется на несколько секунд процесс powershell, но не всегда после этого выскакивает блокировка web-защиты Avast. Возможно не все URL, которые генерит этот скрипт, в чёрном списке Avast, или это вообще про другое.

Посмотрите в журнале веб-экрана дату и время первого сообщения о блокировании.
По-моему (!): для XP - C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\report\WebShield.txt
Для более свежих ОС - C:\ProgramData\AVAST Software\avast\report\WebShield.txt
После этого можно произвести поиск созданных и измененных файлов по имени . в небольшом временном интервале.
Может это что-то даст?

если 10ка можете попробовать включить логирование powershell
конфигурация компьютера > административные шаблоны > компоненты windows > windows powershell > включить транскрипции powershell
включите и укажите путь к выходному файлу

Спасибо за подсказку. Логирование включил. Теперь вижу что кто-то запускает powershell скрипт, который пытается залезть на эти сайты. Только вот из логов всё-равно не понятно кто запускает скрипт и откуда. Вот как бы это узнать?

Заархивируйте лог, (поставьте пароль, если нужна конф.) прикрепите файл, скиньте пароль в ЛС

Да ничего конфиденциального в логе нет. Заметил в отчёте Avast что этот скрипт лезет только на несколько сайтов. Запретил их в hosts. Но хотелось бы всё-таки вычислить паразита.

Здравствуйте!
У меня такая же проблема, как у ТС. Аваст постоянно показывает окошки о том, что прервано подключение к такому-то сайту.
Всего сайтов три:
28652425 (точка ком)
22471394 (точка ком)
12323439 (точка ком)

Как с этим бороться?

Мне так никто тут толком не подсказал как найти этого паразита. Сканирование ни Авастом ни другими антивирусами и антируткитами ничего не дали. К сожалению, я смог выявить только последствия запуска PowerShell скрипта включив логирование , как подсказали выше. Но из логов неясно кто запускает этот скрипт. Скорее всего какой-то майнер поселился, но вычислит его пока не могу. :frowning: На данный момент я просто запретил эти сайты на системном уровне добавив в файл c:\Windows\System32\drivers\etc\hosts вот эти строки:
0.0.0.0 28652425.com
0.0.0.0 22471394.com
0.0.0.0 12323439.com
Сохранил и перегрузил систему. Сайтов действительно три, но скрипт случайным образом обращается к ним. Теперь веб-экран AVAST больше ничего не показывает, т. к. блокировка происходит до него.

Здравствуйте! Не могли бы вы пояснить?

  1. Каким образом расширения для браузера могут быть связаны с попытками моего компьютера подключиться к сайтам, внесённым в Blacklist?
    Я использую браузеры Firefox и Tor. Плюс ещё есть Edge, которым я не пользуюсь от слова совсем.
  • В Tor и Edge я не использую расширения
  • В Firefox использую 3 расширения: Google Translator for Firefox, Avast Online Security, Adblock Plus.
  1. В Firefox есть 2 возможности:
  • Можно “выключить” расширения с помощью бегунка. Расширения при этом остаются в списке расширений, но типа отключаются.
  • Можно удалить расширение из списка расширений.
    См. приложенную картинку.
    Какой вариант правильный?

Эти расширения точно не виновники “торжества”. Можете их не отключать, а если хотите всё-таки их убрать, то можно и просто отключить или удалить, без разницы. После этого нужно перезапустить браузер.

Я Вам предлагал через файл журнала WebShield и поиск по отрезку времени определить изменения в системе, вызванные “периодически устанавливаемыми и удаляемыми разными программами”.
Среди этих программ (вольно или невольно) на свою беду Вы накликали Baidu.
Все три URL переадресовывают на хттпс://hm.baidu.com/hm.js?bd3e7cf142c59905cd30abcec611f180
Так что, Cherchez la Baidu!

П.С. Сканировать систему AdwCleaner не пробовали?
https://www.comss.ru/page.php?id=1309

Идея, если честно, не очень реализуемая. Ну определил я день когда первый раз скрипт стал долбиться к китайцам (по отчёту Аваста). И что дальше? Как вы себе представляете “определить изменения в системе, вызванные “периодически устанавливаемыми и удаляемыми разными программами”.”? В этот день я несколько программ устанавливал и удалял. Это тысячи файлов. И совсем не значит, что дата их файлов датирована этим днём.

Среди этих программ (вольно или невольно) на свою беду Вы накликали Baidu. Все три URL переадресовывают на хттпс://hm.baidu.com/hm.js?bd3e7cf142c59905cd30abcec611f180 Так что, [i]Cherchez la Baidu![/i]
Так это понятно. Никто от поимки вируса не застрахован. С таким же успехом можно было и переадресацию на Яндекс поймать. :) Вопрос как найти этот вирус и удалить его? Нахрена нужны такие антивирусы, которые поймать его не могут?
П.С. Сканировать систему AdwCleaner не пробовали?
И не только им, ещё несколькими антивирусами и антируткитами. Я ж написал выше. Результатов ноль. :( Остаётся только вручную ловить. Я вижу логи запуска и работы ps-скрипта через который этот вирус лезет на эти сайты. Там ещё и код в зашифрованном виде присутствует. Отчёт я выше прикладывал. Вопрос как найти того, кто его запускает?

В параметрах поиска выбираете “Дата между”. Вводите диапазон, скажем 5 мин или любой другой, но небольшой.
Например, как на скришоте.

Вирус это или не вирус пока что неизвестно.
Если Вы подозреваете заражение, то обратитесь сюда:
https://forum.avast.com/index.php?board=4.0