Неизвестный троян.

1
RSS
Здравствуйте!
У меня уже несколько месяцев ESET обнаруживает троян JS/Redirector.NDS на всех приложениях при запуске и не только; и постоянно блокирует/удаляет его. Но видимо источник найти не может, поэтому постоянно появляются всплывающие сообщения с трояном. Несколько раз проводил сканирование - не находит. В гугле по нему ничего нет. Как удалить?
p.s. первый раз создаю тему, не могу загрузить скрины с трояном, текст всплывающего сообщения такой: "УГРОЗА УДАЛЕНА. Объект угроза (JS/Redirector.NDS) был найден, когда приложение *например Microsoft Word/Opera/Steam* пыталось получить доступ к веб-сайту (unblock.ga). Доступ заблокирован."
Использую ESET Smart Security 10
Изменено: Алексей Нуар - 28.08.2018 02:55:18
добавьте образ автозапуска системы
santy,
Изменено: Алексей Нуар - 28.08.2018 12:41:53
santy, понял как прикреплять скрины, на всякий случай вот:
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref 0HTTP://UNBLOCK.GA/FILES/UNBLOCK.PAC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.YANDEX.RU/?WIN=251&CLID=2084453
delref HTTP://UNBLOCK.GA/FILES/UNBLOCK.PAC
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://YANDEX.RU/YANDSEARCH?WIN=251&CLID=2084454&TEXT={SEARCHTERMS}
apply

;-------------------------------------------------------------

deltmp
restart
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref J:\GAMES\THESUFFERINGTTB.EXE
delref %SystemDrive%\USERS\NOIR\DESKTOP\CONTROLMKV0232.EXE
delref D:\DOWNLOADS\MAGICKA_STEAM-FIX_BYUBERPSYX.EXE
delref D:\DOWNLOADS\MAGICKA_LAN_FIX_BYUBERPSYX.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.110\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref EZCDDAX EXTENSION\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {967B2D40-8B7D-4127-9049-61EA0C2C6DCE}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {5F327514-6C5E-4D60-8F16-D07FA08A78ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref D:\DOWNLOADS\PROGRAMMS\ULTRAISO PREMIUM EDITION V9.6.2.3059 FINAL ML_RUS (DC 25.08.2014)\ULTRAISO PREMIUM EDITION V9.6.2.3059  PORTABLE BY PORTABLEAPPZ (DC 25.08.2014)\APP\ULTRAISO\DRIVERS\ISODRV64.SYS
delref E:\CDRIVER64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\SUPER CHARGER\NTIOLIB_X64.SYS
delref E:\NTIOLIB_X64.SYS
delref F:\NTIOLIB_X64.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref E:\SETUP\RSRC\AUTORUN.EXE
delref E:\DIRECTX\DXSETUP.EXE
delref {5941A0E4-56C1-4A49-9B18-05762CAC5F9B}\[CLSID]
delref {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4}\[CLSID]
delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
delref {E753A93F-2367-4978-BFA0-83048C1E61CB}\[CLSID]
delref {F1F53366-3E11-47AB-BF84-580C94F9C9AD}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
apply




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
RP55 RP55, всё протестировал, много прог позапускал, проблема решена. Благодарю за помощь!
1
Читают тему (гостей: 1)