[ Закрыто ] PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? , PUA list срабатывания - как понять с какого из сайтов они происходят?

RSS

Сообщений: 47

Баллов: 23

Регистрация: 06.11.2017

Размещено 06.11.2017 12:47:12

Здравствуйте,

В логах на двух компьютерах вижу, приблизительно одинаковые PUA срабатывания
Time;URL;Status;Application;User;IP address;SHA1
11/5/2017 10:32:26 PM;
http : // dAtadrivensolution.com/?kw=ftz&p=2&rndx=1509910345790
Blocked y PUA blacklist;C:\Program Files\Mozilla Firefox\firefox.exe;();199.59.242.150;92E905657C0B6ED442000D6A79D74367CF807296

В адресе очевидно вредного хоста поменял первую a на русскую заглавную (чтобы не распространять вредные ссылки)

По IP адресу - несколько сотен сайтов - http://viewdns.info/reverseip/?host=199.59.242.150&t=1

Понять, в какой из вкладок Firefox какой из сайтов пытался что-то подгрузиться с указанного выше
нехорошего dAtadrivensolution , не могу ... Как это лучше сделать? Это в принципе можно сделать?

Есть подозрения на веб версию Скайпа, где много общаюсь, и где часть контактов периодически
ломают и засылают вирусные ссылки - но проверить это никак не могу ... Может подгружаться история
Скайпа и Nod видит вредную ссылку и тут же ее блокирует ... но сомневаюсь ..

P.S. Пару недель назад было аналогичное про mb.moAtads.com (русскую А опять вместо a англ.) -
но там это четко произошло при загрузке стартовой страницы MSN с новостями - это происходит,
когда редко, но загружаю Internet Explorer чтобы проверить один сайт в другом браузере (чистый).

Изменено: Serge Arsentiev - 06.11.2017 12:48:35

Ответы

Пред. 1 2 3 4 5 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 07.11.2017 14:27:33

Serge Arsentiev

Одну систему проверили.
Желательно посмотреть и другую.
Возможно будет - что-то общее.

Сообщений: 47

Баллов: 23

Регистрация: 06.11.2017

Размещено 08.11.2017 12:33:35

Ок, вот пожалуйста << файл удален, благодарю за помощь >>
Windows XP SP3 компьютер

Когда все закончил, на закрытии Ваша утилита подвисла - пришлось
останавливать процесс и перезагружаться.

Изменено: Serge Arsentiev - 08.11.2017 13:58:37

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.11.2017 13:39:16

Выполните скрипт как на первой так и на второй системе.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?} delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS} delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}&BTNG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+GOOGLE&LR= delref HTTP://YANDEX.RU/YANDSEARCH?TEXT={SEARCHTERMS}&FROM=OS deltmp restart

Код


;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c

delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}&BTNG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+GOOGLE&LR=
delref HTTP://YANDEX.RU/YANDSEARCH?TEXT={SEARCHTERMS}&FROM=OS
deltmp
restart

Изменено: RP55 RP55 - 08.11.2017 13:40:21

Сообщений: 47

Баллов: 23

Регистрация: 06.11.2017

Размещено 08.11.2017 13:45:47

Цитата
RP55 RP55 написал: Выполните скрипт как на первой так и на второй системе.

Ок, смогу вечером, сейчас рабочий день (работать нужно)
Пожалуйста, уточните вкратце, что делает этот скрипт?

Я понимаю что удаляет reference связанные с поисковиками (с параметрами), но откуда именно?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.11.2017 13:57:34

Полное имя HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
Имя файла HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC

Сохраненная информация на момент создания образа
Статус в автозапуске

SearchScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Name @ieframe.dll,-12512

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-299502267-796845957-1801674531-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\URL

------------------------
Полное имя HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}
Имя файла HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}

Сохраненная информация на момент создания образа
Статус в автозапуске

SearchScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Name @ieframe.dll,-12512

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\URL

Сообщений: 47

Баллов: 23

Регистрация: 06.11.2017

Размещено 08.11.2017 14:02:09

Цитата
RP55 RP55 написал: Полное имя HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q= {SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC Имя файла HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q= {SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC

Ок, но лучше было объяснить что делает скрипт ...

Я так понимаю, в реестре прописаны некие ссылки на поисковые системы
(но среди них ведь нет "левых") - т.е. мы просто очищаем в реестре все
что касается поисковых систем для всех браузеров? Да или нет?

Извините за тупость

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.11.2017 14:03:54

Если из скрипта убрать команду: restart
то удаление можно выполнить без перезагрузки.
--------
В принципе вы сами можете выполнить удаление в ручную.
Запустить uVS > и вместо вкладки\категории подозрительные и вирусы выбрать вкладку Все.
Доп. информацию по объекту можно посмотреть в: Информация.
Далее команды отдаются правой лапой мыши ( после чего нужно нажать: ( Принять изменения )

Сообщений: 47

Баллов: 23

Регистрация: 06.11.2017

Размещено 08.11.2017 14:13:03

Цитата
RP55 RP55 написал: Если из скрипта убрать команду: restart то удаление можно выполнить без перезагрузки. -------- В принципе вы сами можете выполнить удаление в ручную. Запустить uVS > и вместо вкладки\категории подозрительные и вирусы выбрать вкладку Все. Доп. информацию по объекту можно посмотреть в: Информация. Далее команды отдаются правой лапой мыши ( после чего нужно нажать: ( Принять изменения )

Цитата

RP55 RP55 написал:
Если из скрипта убрать команду: restart
то удаление можно выполнить без перезагрузки.
--------
В принципе вы сами можете выполнить удаление в ручную.
Запустить uVS > и вместо вкладки\категории подозрительные и вирусы выбрать вкладку Все.
Доп. информацию по объекту можно посмотреть в: Информация.
Далее команды отдаются правой лапой мыши ( после чего нужно нажать: ( Принять изменения )

Понял чуть больше, смогу заняться вечером, спасибо за помощь.

Что это такое, это следы трояна или malware или подсадка от какого-то сайта?
Но где же тогда сам троян (или прочие его следы)?

Изменено: Serge Arsentiev - 08.11.2017 14:15:21

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.11.2017 14:20:14

В каталоге с программой uVS есть файл с документацией. ( Doc )
Команда: DELREF
Удалит все ссылки на объект. ( в реестре )
---------
По работе с uVS можно пройти обучение: здесь

Цитата
Serge Arsentiev написал: но среди них ведь нет "левых"

Если не считать, что везде прописано: ={SEARCHTERMS}

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.11.2017 14:25:33

Больше лишнего в системах не вижу.

Изменено: RP55 RP55 - 08.11.2017 14:30:05

Пред. 1 2 3 4 5 След.