Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Адрес заблокирован , Несколько дней назад стало выскакивать в браузере адрес заблокирован.

1 2 След.
RSS
 
Сергей лАВРИКОВ
Сергей лАВРИКОВ
Пользователь
Сообщений: 1
Регистрация: 25.11.2016
Размещено 25.11.2016 11:30:54
Несколько дней назад стало выскакивать в браузере адрес заблокирован. Образ автозапуска сделал. Помогите.
IMG_5636.JPG (4.93 МБ)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.11.2016 15:43:10
это что у вас?
Цитата
Полное имя                  C:\WINDOWS\SYSWOW64\NOD32P.EXE
Имя файла                   NOD32P.EXE
Тек. статус                 АКТИВНЫЙ сервис в автозапуске
                           
www.virustotal.com          2015-02-24
-                           Файл был чист на момент проверки.
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске
Процесс                     32-х битный
File_Id                     2A425E196C000
Linker                      2.25
Размер                      414208 байт
Создан                      06.08.2011 в 17:52:47
Изменен                     24.04.2005 в 10:18:25
                           
TimeStamp                   19.06.1992 в 22:22:17
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 2148                  NT AUTHORITY\СИСТЕМА
CmdLine                     C:\Windows\SysWOW64\nod32p.exe
Процесс создан              10:49:40 [2016.11.21]
С момента создания          96:10:15
parentid = 744              
SHA1                        01892B1E0623C29DC051E5582B22D6910206AFBF
MD5                         5F253E65C4E6F082D1D129297E1BAA63
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\nod32p\ImagePath
ImagePath                   C:\Windows\SysWOW64\nod32p.exe
nod32p                      тип запуска: Авто (2)
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
Образы                      EXE и DLL
NOD32P.EXE                  C:\WINDOWS\SYSWOW64
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.11.2016 09:10:33
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\NOD32P.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [email protected], [email protected]
------------
[ Как создать образ автозапуска? ]
 
Николай Николаев
Николай Николаев
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2016
Размещено 10.12.2016 19:19:27
похожая проблема, при открытие сайтов стало выскакивать это



хотя и сайта то такого незнаю и не был там никогда, что то цепанул где то?  как избавиться? win10 гугл хром
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 10.12.2016 20:11:50
Николай Николаев

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
 
Николай Николаев
Николай Николаев
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2016
Размещено 11.12.2016 08:51:40
вот
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.12.2016 09:12:15
Николай Николаев

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT

delref %SystemDrive%\USERS\САША\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
del %SystemDrive%\USERS\САША\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC
delref HTTP://TANKIONLINE.COM/RU/
delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B518C4C82-4533-496E-A88F-160B6AE88647%7D&GP=822363
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B6BE4EECB-F78D-488B-9DF1-21F4854FBA75%7D&GP=822363
delref HTTP://MAIL.RU/CNT/10445?GP=822353
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=820463
;-------------------------------------------------------------

delall %SystemDrive%\USERS\САША\APPDATA\LOCAL\HOSTINSTALLER\1154026396_MONSTER.EXE
delall %SystemDrive%\USERS\САША\APPDATA\LOCAL\SYSTEMMONITOR2016\1154026396.EXE
deltmp
delnfr
restart


+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
 
Николай Николаев
Николай Николаев
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2016
Размещено 11.12.2016 10:49:58
проблема не ушла причем это тольго в гугле, мозила нормально, нет этого сообщения, думаю дело в браузере, вот отчет с программки выше
Изменено: Николай Николаев - 11.12.2016 10:50:18
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.12.2016 11:03:52
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/


3) Расширения хрома и uVS
http://pchelpforum.ru/f26/t141222/3/#post1256024

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

4) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
 
Николай Николаев
Николай Николаев
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 10.12.2016
Размещено 11.12.2016 15:51:07
FRST не запускается. Уже поудалял все программы которые за последнее время ставил, никакой реакции, все то же самое, вот лог adw
Изменено: Николай Николаев - 11.12.2016 15:51:24
 
1 2 След.
Читают тему