URL-адрес Unstopp.me/wpad.dat? заблокирован - Форум технической поддержки ESET NOD32

Сообщений: 16

Баллов: 8

Регистрация: 25.06.2017

Размещено 25.06.2017 14:33:43

Всем здраствуйте. У меня такая проблема возникла а именно нод постоянно блокирует Ip адресс 50.7.146.35 и URL-адрес Unstopp.me/wpad.dat?"дальше символы и цифры"

Сканировал разными утилитами и доктор веб курейт, касперский, Malwarebytes. adwcleaner, Junkware Removal Tool. Не помогает ни одна из них. Это первый такой гемор на моем компе. До этого устранял такие проблемы легко. Помогите пожалуйста буду очень признателен. Мне не вариант переустанавливать виндовс!

Прикрепленные файлы

есет скрин.jpg (17.64 КБ)

hijackthis.log (7.7 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.06.2017 15:38:48

Андрей,
добавьте образ автозапуска.
ссылка на инструкцию как это сделать в моей подписи.

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 25.06.2017

Размещено 25.06.2017 16:30:19

Цитата
santy написал: Андрей, добавьте образ автозапуска. ссылка на инструкцию как это сделать в моей подписи.

Прикрепленные файлы

USER-PROFI-ПК_2017-06-25_16-18-09.7z (658.22 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.06.2017 16:35:57

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE hide D:\DFX AUDIO ENHANCER 12.021 REPACK BY KPOJIUK\DFX.AUDIO.ENHANCER.V12.021.EXE hide %SystemDrive%\PROGRAM FILES\EVERYTHING\UNINSTALL.EXE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\USER-PROFI\DOWNLOADS\REIMAGEREPAIR.EXE addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0FA01483C5353CF265B3362743173E3D9CC92B807B8AFE9609FA2820FDB2D79AB04625D41C018006CA44 25 Program.Unwanted.1470 [DrWeb] 7 chklst delvir deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR delref HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642 apply deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F464B4686B1224DABE\D2DAE420979E9A7C8EF983A6CA9B57FAF3FA474E-1 delref %SystemDrive%\USERS\USER-P~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1452_8929\0.57.44.2492_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRX delref %SystemDrive%\USERS\USER-PROFI\APPDATA\ROAMING\MICROSOFT\MSI.EXE delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\REIGUARD.EXE delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {2E9FFF5C-4375-494D-951F-098BAA42239E}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\59.0.3071.109\INSTALLER\CHRMSTP.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL delref %SystemRoot%\SYSWOW64\PLASRV.EXE delref %SystemDrive%\PROGRAMDATA\FREE DOWNLOAD MANAGER\FIREFOX\EXTENSIONS\2.0.19 delref %SystemDrive%\USERS\USER-PROFI\APPDATA\ROAMING\EMERGENCY SOFT\HISTORY KILLER PRO\HISTORYKILLERPRO.EXE delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\AU3_SPY.EXE delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\COMPILER\AHK2EXE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\OPENAL 1.1 SDK\SAMPLES\BIN\WIN32\EFXFILTERWIN32.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide D:\DFX AUDIO ENHANCER 12.021 REPACK BY KPOJIUK\DFX.AUDIO.ENHANCER.V12.021.EXE
hide %SystemDrive%\PROGRAM FILES\EVERYTHING\UNINSTALL.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\USER-PROFI\DOWNLOADS\REIMAGEREPAIR.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0FA01483C5353CF265B3362743173E3D9CC92B807B8AFE9609FA2820FDB2D79AB04625D41C018006CA44 25 Program.Unwanted.1470 [DrWeb] 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

delref HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F464B4686B1224DABE\D2DAE420979E9A7C8EF983A6CA9B57FAF3FA474E-1
delref %SystemDrive%\USERS\USER-P~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1452_8929\0.57.44.2492_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRX
delref %SystemDrive%\USERS\USER-PROFI\APPDATA\ROAMING\MICROSOFT\MSI.EXE
delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\REIGUARD.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {2E9FFF5C-4375-494D-951F-098BAA42239E}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\59.0.3071.109\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %SystemDrive%\PROGRAMDATA\FREE DOWNLOAD MANAGER\FIREFOX\EXTENSIONS\2.0.19
delref %SystemDrive%\USERS\USER-PROFI\APPDATA\ROAMING\EMERGENCY SOFT\HISTORY KILLER PRO\HISTORYKILLERPRO.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\AU3_SPY.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\COMPILER\AHK2EXE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OPENAL 1.1 SDK\SAMPLES\BIN\WIN32\EFXFILTERWIN32.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 25.06.2017

Размещено 25.06.2017 16:47:57

Не помогло. Комп перезапустился после скрипта, как я только включил модем. Нод снова блокирует этот URL-адресс. С тем же Ip адрессом. Я еще заметил в программе "Tcpview" (которая следит кто выходит в сеть). В общем этот ip адрес всплывает во вкладке хром. В общем в любом браузере который я запускаю, даже если я скачаю новый этот ip появится там и исчезает. Так же заметил появляется и в System Process этот Ip адрес, иногда повисит и снова исчезает. Это все я через программу "Tcpview" наблюдал

Изменено: Андрей Репринцев - 25.06.2017 16:55:43

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.06.2017 16:55:57

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 25.06.2017

Размещено 25.06.2017 16:58:09

Цитата
santy написал: далее, сделайте дополнительно быструю проверку системы в малваребайт http://forum.esetnod32.ru/forum9/topic10688/

Сделал я быструю проверку. Угроз не обнаруженно вот весь ответ этой утилиты. Пропробую полную сделать. Но я думаю врядли поможет. Если этот ip прыгает с браузеа на system processor. Его ни одна утилита не видит. Что это за фигня такая не знаю.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.06.2017 16:59:49

Андрей,
делаем все по порядку.
скрипт uVS, потом сканирование в малваребайт,
если не поможет, еще несколько проверок будет.
------------
проверьте настройки сети ВСЕХ браузеров.
там в прокси прописан этот адрес, можно вручную удалить и проверить: поможет или нет.
+
так же очистить кэши браузеров, и локальный кэш DNS

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 25.06.2017

Размещено 25.06.2017 17:49:51

Цитата
santy написал: Андрей, делаем все по порядку. скрипт uVS, потом сканирование в малваребайт, если не поможет, еще несколько проверок будет. ------------ проверьте настройки сети ВСЕХ браузеров. там в прокси прописан этот адрес, можно вручную удалить и проверить: поможет или нет. + так же очистить кэши браузеров, и локальный кэш DNS

Цитата

santy написал:
Андрей,
делаем все по порядку.
скрипт uVS, потом сканирование в малваребайт,
если не поможет, еще несколько проверок будет.
------------
проверьте настройки сети ВСЕХ браузеров.
там в прокси прописан этот адрес, можно вручную удалить и проверить: поможет или нет.
+
так же очистить кэши браузеров, и локальный кэш DNS

В общем в браузерах все чисто. DNS тоже почистил. Кэш и куки тоже. Ничего не помогает.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 25.06.2017 17:52:38

Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/