[ Закрыто ] PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? , PUA list срабатывания - как понять с какого из сайтов они происходят?

Здравствуйте,

В логах на двух компьютерах вижу, приблизительно одинаковые PUA срабатывания
Time;URL;Status;Application;User;IP address;SHA1
11/5/2017 10:32:26 PM;
http : // dAtadrivensolution.com/?kw=ftz&p=2&rndx=1509910345790
Blocked y PUA blacklist;C:\Program Files\Mozilla Firefox\firefox.exe;();199.59.242.150;92E905657C0B6ED442000D6A79D74367CF807296

В адресе очевидно вредного хоста поменял первую a на русскую заглавную (чтобы не распространять вредные ссылки)

По IP адресу - несколько сотен сайтов - http://viewdns.info/reverseip/?host=199.59.242.150&t=1

Понять, в какой из вкладок Firefox какой из сайтов пытался что-то подгрузиться с указанного выше
нехорошего dAtadrivensolution , не могу ... Как это лучше сделать? Это в принципе можно сделать?

Есть подозрения на веб версию Скайпа, где много общаюсь, и где часть контактов периодически
ломают и засылают вирусные ссылки - но проверить это никак не могу ... Может подгружаться история
Скайпа и Nod видит вредную ссылку и тут же ее блокирует ... но сомневаюсь ..

P.S. Пару недель назад было аналогичное про mb.moAtads.com (русскую А опять вместо a англ.) -
но там это четко произошло при загрузке стартовой страницы MSN с новостями - это происходит,
когда редко, но загружаю Internet Explorer чтобы проверить один сайт в другом браузере (чистый).

Доброго времени суток,

Просим проверить дополнения в браузерах.

Также, срабатывание может на сайты, например если пользователь пытается загрузить программу из сайта который находится в списке PUA

Прошу указать порядок действий - вот вылетело сообщение - PUA блокировка
... я подозреваю какую-то вкладку браузера .. что я делаю дальше, если View Source не помогает ... ?

1. Благодарю за ответ - с трудом нашел своё сообщение (перенесли:)
2. На всякий случай проверился сейчас ADW Cleaner - все чисто
3. Win7 64 лицензия ... Дополнений в браузере Firefox 56.0.2 64 bit нет (совсем,
свежая установка, добавлен Flash - но позднее отключен (всегда) -
Долго боролся чтобы Firefox 32 bit  не тормозил - очищал все что мог, создавал новый профайл,
включал Multiprocess Windows .. Вот, ставил 64 bit . и сейчас он работает нормально,
если Flash не включать (все танцы с бубном вокруг Flash не помогли,
он просто перестал работать нормально и все).
4. Версия Nod32 Antivirus 10.1.235.0 , лицензия как раз через пару дней заканчивается.

За эти два часа Nod32 при открытой одной (1) вкладке браузера - vc.ru - нашел ymetriсА.com
(опять ставлю русское А вместо a англ), и ругнулся - но в HTML коде нет ни вызова этого сайта,
и нет обращения к IP адресу ... 18.194.128.161 ...на котором нет сайтов (никаких, вроде бы)

> Также, срабатывание может на сайты, например если пользователь пытается  загрузить программу из сайта который находится в списке PUA

Одна вкладка (при закрытии и новом запуске браузера - отключена подгрузка прежних открытых вкладок,
это на случай если какие-то невидимые iframe что-либо вытворяли бы)

После проверки ADW Cleaner и его закрытия, открыл снова браузер, пошел на vc.ru - в единственной
вкладке и сразу прилетела (вот эта ошибка про ЙМетрику.Ком)

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/


Выход в сеть не через один роутер ?

1, Образ автозапуска на <<адрес удален, спасибо за диагностику>>
В процессе создания он что-то многовато ругался на ненайденные файлы ...

2. Да, выход в сеть через один роутер, достаточно старенький DIR 300
У него фильтрация по MAC адресам на подключение, на WiFi достаточно длинный и сложный пароль,
Проверять что-то в роутере? Проверил DNS адреса = они прежние, провайдерские.

Система чиста.
У вас  есть usb модем или другой роутер ?
Или подключить напрямую.
Что будет...?

Спасибо за быстрый ответ и проверку результатов.
USB модема нет, другой роутер (с другим провайдером) - есть
Оригинальный провайдер Интерзет (ДомРу) СПб.

Только проблема проявляется не всегда, а как-то сеансово - вылезло что-то и все нормально,
а следующий раз - например только назавтра ... не отследить условия возникновения.

Попробую заняться тестированием в след. уже выходные, если ветку нужно закрыть
(по каким-то условиям) - можно пока закрыть, или пусть просто повисит.

Благодарю за помощь в праздничные дни!

Пожалуйста уточните, что можно проверить в роутере -

Я раньше сталкивался у людей с такими ситуациями:

1. Взлом компьютера (вирусом/трояном) - который устанавливает "левый" прокси
в настройках Internet Explorer - пропускает трафик с ощутимыми задержками
часто выдает левые сайты в доп. окне при обращениях к любым сайтам

2. Взлом роутера кем-то снаружи (обычно при простом пароле на WiFi
и паролю по умолчанию от роутера) - в этом случае просто ставят левые DNS
сервера , которые при Internet браузинге со всех клиентских компьютеров -
делают нечто похожее - перенаправляют трафик через сайты с рекламой.

3. Некоторые провайдеры даже на родных DNS серверах ухитряются
добавлять "от себя" какие-то сюрпризы, тулбары и перебросы ... надеюсь,
Interzet до этого пока не дошел.

т.е. вы подключали через другой роутер и рекламы не было ?
Проблемы возникают только при работе с Mozilla Firefox или это наблюдается во всех браузерах ?

Также в системе есть µTORRENT - посмотрите настройки - в ряде случаев программа может демонстрировать рекламу.
---------
Устаревшая прошивка - содержащая уязвимость, может дать возможность злоумышленнику\вредоносной программе вклиниваться в работу устройства.
В этом случае нужно выполнить обновление прошивки - до актуальной. ( скачав с сайта разработчика )
Или же.... если оборудование более не поддерживается разработчиком. заменить его на новое.

По настройке безопасности роутера: К прочтению.

1/ Проблема проявилась на двух компьютерах (Windows) в Mozilla Firefox и Internet Explorer.
Можно назвать ее проблемой "первого" сайта, посещенного после запуска браузера -
впрочем, она происходит на всегда, не каждый раз - конкретно за 2 недели 5 раз.

2/ mTorrent был установлен когда-то, но он отключен (не используется и не находится в автозагрузке).
Не использовался уже 2-3 месяца, а проблемы проявились 2 недели назад.

3/ По роутеру поясните пожалуйста - как именно что-либо вмешивается в его работу,
если сделана фильтрация по MAC адресам (нельзя подключиться вне списка MAC адресов).
Если что-то "вклинивается" - то почему так редко? Что еще проверить в роутере?
Как называется этот тип уязвимости (в принципе, или для роутеров D-link)
Про проблемы с роутером верится все же с трудом, но хочется их исключить.

4/ По роутеру все прочитал - на таких настройках он и работает последние годы.
Новых прошивок для него не выпускается ...