Адрес заблокирован - Форум технической поддержки ESET NOD32

Сообщений: 7

Баллов: 3

Регистрация: 15.03.2017

Размещено 15.03.2017 23:20:53

Стоит нод смарт 9. Было дело, скачал чит на игру одну, (я знал на что иду). Ну вроде вирус сел. Удалил проверил - ничего не нашёл нод. Ну а теперь стало вылазить окно с предупреждение "Адрес заблокирован" с указанием URL и IP. Лазил по гуглу ничего подходящее мне не нашёл. Проверял hitman pro malewarebytes - ничего, что-то там находит себе, а окно с предупреждением вылазит всё равно. Как я понял - это не вирус а типа эксплойта, и нод не увидит его потому что это не тело. Делал лог, эта дрянь залезла даже с процесс svhost да и вообще со всех процессов начала отправлять что-то. Стар компа стал медленней. Короче проблема и не могу её решить уже неделю. ПАМАГИТЕ! URL и IP всегда одинаковые. Прокси не использую, закладок в браузере нету и расширений всяких тоже. Инет через роутер.
Прикрепляю логи всего чего только можно.

Прикрепленные файлы

FRST.txt (73.24 КБ)
WTF.txt (5 МБ)
Shortcut.txt (98.12 КБ)
KOST-PC_2017-03-15_22-57-12.7z (709.6 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.03.2017 04:32:55

Все логи сразу не нужны, в стартовой теме нужен только образ автозапуска,
остальные логи запрашиваются по мере необходимости, и для контроля хода очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://NON-BLOCK.NET/WPAD.DAT?2B36AB6D1C4BD6F26D39BE3D03188ACD16717189 delref H:\STARTME.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP:\\TECH-CONNECT.BIZ\?SSID=1474207761&A=1054667&SRC=SH&UUID=35EDFF3D-1CE7-4C4F-9A46-7F96DCD5C2DA,1474207718343 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://NON-BLOCK.NET/WPAD.DAT?2B36AB6D1C4BD6F26D39BE3D03188ACD16717189

delref H:\STARTME.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP:\\TECH-CONNECT.BIZ\?SSID=1474207761&A=1054667&SRC=SH&UUID=35EDFF3D-1CE7-4C4F-9A46-7F96DCD5C2DA,1474207718343

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 15.03.2017

Размещено 16.03.2017 19:31:59

Сделал проверку - нашло что-то. После перезагрузки вроде всё пропало. Прикрепляю лог.

Прикрепленные файлы

проверка.txt (3.67 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.03.2017 21:24:54

1) Это можно было не удалять: HackTool.Agent, C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\ACTIVATOR.EXE, Удалить при перезагрузке, [549], [85888],1.0.1515
Это активатор офиса.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Изменено: RP55 RP55 - 16.03.2017 21:25:09

Сообщений: 7

Баллов: 3

Регистрация: 15.03.2017

Размещено 16.03.2017 23:45:21

Прикрепляю лог AdwCleaner.
FRST лог
Addition лог

Прикрепленные файлы

AdwCleaner[C0].txt (3.21 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.03.2017 03:53:41

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION FirewallRules: [{503156E7-70B9-4EBC-8306-3EB062B14EEC}] => (Allow) C:\Program Files\UBar\ubar.exe EmptyTemp: Reboot:

Код

GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FirewallRules: [{503156E7-70B9-4EBC-8306-3EB062B14EEC}] => (Allow) C:\Program Files\UBar\ubar.exe
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 15.03.2017

Размещено 18.03.2017 01:52:13

Прикрепляю fixlog.

Прикрепленные файлы

Fixlog.txt (1.63 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2017 04:51:05

что сейчас с проблемой?

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 15.03.2017

Размещено 18.03.2017 14:30:40

Окно больше не вылазит и это уже очень хорошо. Спасибо за помощь!! Но всё равно как-то медленно первая загрузка системы происходит. Раньше точно такого не было. Процессов не много на автозагрузке стоит. NOD teamviewer панель управления Nvidia. Может вирус этот как-то на жесткий диск мог повлиять?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2017 16:26:51

Hitman Pro у вас установлен с постоянной защитой, или работает как сканер?
аналогично по malwarebytes/
+
добавьте лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

[ Как создать образ автозапуска? ]