Сообщение на китайском и незакрываемое окно - Форум технической поддержки ESET NOD32

Сообщений: 7

Баллов: 3

Регистрация: 12.03.2017

Размещено 17.03.2017 13:55:23

Добрый день, недавно у меня появилось две проблемы, которые вы можете наблюдать на скриншотах. При открытии некоторых страниц в браузере иногда появляется сообщение на китайском(?) языке, при чем ВСЕ написано на китайском, никакой информации нода там нет, ни адреса на который он ругается, ни типа угрозы. Благо это окно можно ЗАКРЫТЬ. Вторая проблема, которая появилась пару недель назад - я не могу закрыть окно с предупреждением нежелательного ПО, нет выбора действий, нет крестика, вообще ничего, через панель тоже, т.к. окно не фиксируется в панели задач, а просто висит поверх открытых программ, и единственный способ от него избавиться это выход пользователя или перезагрузка. Никаких изменений в настройки антивируса я не вносил, эти проблемы вероятно вызваны обновлением. Система ОС Win7 x64, версия нода антивирус 8.0.319.1, меня полностью устраивала(до этих событий), обновляться на другие не планирую.

Прикрепленные файлы

chinese shit.png (25.33 КБ)

tupoi nod.png (15.23 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2017 14:08:51

Максим,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 78

Баллов: 63

Регистрация: 16.03.2017

Размещено 17.03.2017 15:15:15

После появления уведомления в файлах журнала антивируса должна появится строка, скопируйте сюда ее содержимое.
Антивирус обновляется с официальных серверов ESET?

Сообщений: 7

Баллов: 3

Регистрация: 12.03.2017

Размещено 17.03.2017 16:03:44

Цитата
santy написал: Максим, добавьте образ автозапуска http://forum.esetnod32.ru/forum9/topic2687/ После появления уведомления в файлах журнала антивируса должна появится строка, скопируйте сюда ее содержимое. Антивирус обновляется с официальных серверов ESET?

Цитата

santy написал:
Максим,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

После появления уведомления в файлах журнала антивируса должна появится строка, скопируйте сюда ее содержимое.
Антивирус обновляется с официальных серверов ESET?

В журнале информации нет, антивирус обновляется с официальных серверов.

Прикрепленные файлы

USER-PC_2017-03-17_14-53-37.7z (722.04 КБ)

Изменено: Максим Канцер - 17.03.2017 16:09:05

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2017 16:49:26

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC del D:\GOOGLE CHROME\CHROME.BAT regt 28 regt 29 ; Mobogenie3 exec C:\Program Files (x86)\Mobogenie3\Uninstall.exe deltmp delnfr ;------------------------------------------------------------- regt 27 restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

del D:\GOOGLE CHROME\CHROME.BAT

regt 28
regt 29
; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2017 16:55:11

+
'этот файл проверьте на http://virustotal.com
C:\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE
и добавьте линк проверки в ваше сообщение.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 12.03.2017

Размещено 17.03.2017 17:27:18

Цитата

santy написал:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код

 
;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

del D:\GOOGLE CHROME\CHROME.BAT

regt 28
regt 29
; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Исключил из скрипта строку "del D:\GOOGLE CHROME\CHROME.BAT", т.к. это портабл браузер и бат файл создан мной, в нем прописан профиль для загрузки.

При скачивании браузера Амиго(для проверки, не для использования, упаси б-г) опять появляется сообщение с иероглифами.

Цитата
santy написал: + 'этот файл проверьте на http://virustotal.com C:\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE и добавьте линк проверки в ваше сообщение.

https://virustotal.com/ru/file/1780a985141d849a480e9176eab8b7bc3536be5af1199016fcdfa211e67df33b/anal...

Прикрепленные файлы

malwarebytes.txt (1.99 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 17.03.2017 17:27:28

+
Подозрительные объекты.
C:\USERS\PUBLIC\DESKTOP\XIAOMIFLASH.EXE.LNK
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\XIAOMIFLASH\XIAOMIFLASH.EXE.LNK

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 17.03.2017 17:31:24

К предыдущему сообщению.

1) В Malwarebytes - всё найденное можно удалить.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 7

Баллов: 3

Регистрация: 12.03.2017

Размещено 17.03.2017 17:56:03

Цитата
RP55 RP55 написал: + Подозрительные объекты. C:\USERS\PUBLIC\DESKTOP\XIAOMIFLASH.EXE.LNK C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\XIAOMIFLASH\XIAOMIFLASH.EXE.LNK

Это флешер для телефона, уверен что с ним все в порядке.

Прикрепленные файлы

FRST.zip (33.38 КБ)
AdwCleaner[S1].txt (3.06 КБ)

[ Закрыто ] Сообщение на китайском и незакрываемое окно