Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

JS скрипт при переходе на поисковик google , ХЗ ЧТО ТУТ НЕ ТАК

1
RSS
 
Lobotomy_extract bbb
Lobotomy_extract bbb
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 01.06.2020
Размещено 01.06.2020 14:42:43
Добрый день! Поставил ESET Internet Security и при пребывании на сайте google постоянно выскакивает сообщение что блокируется скрипт JS/Adware.Agent.AW
Не могу понять в чем проблема, где он видит угрозу у меня. Mal*bytes антималварь после полного сканирования не спас ситуацию.
Создал логи FRST.  
Изменено: Lobotomy_extract bbb - 01.06.2020 14:43:35
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.06.2020 16:54:43
+
добавьте образ автозапуска системы
[ Как создать образ автозапуска? ]
 
Lobotomy_extract bbb
Lobotomy_extract bbb
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 01.06.2020
Размещено 01.06.2020 20:44:10
и так же при серфе сайта kinopoisk каждый раз вылезает такая табличка (см.скриншот на яндекс диск)
https://yadi.sk/d/et2u6d4lPX6wEA
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.06.2020 05:08:35
как минимум, левые DNS сервера есть в системе
https://www.nic.ru/whois/?searchWord=156.154.70.25
образ сейчас проверю
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.06.2020 05:22:30
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 35
hide F:\0PERA12.18\NIRCMD.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\7.4.0\DRIVERBOOSTER.EXE
hide %SystemDrive%\COUNTER-STRIKE 1.6\HL.EXE
;------------------------autoscript---------------------------

setdns Подключение по локальной сети\4\{072439DC-CEFC-4D25-9B6F-8CE936B41B38}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 2\4\{BC0B7BCD-FE8B-404B-9D78-14294CE1D7B5}\8.8.8.8,8.8.4.4
delref HTTP://WWW.WINDOWSXLIVE.NET
delref HTTP://WWW.WINDOWSXLIVE.NET/
delref 0HTTPS://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
delref {B164E929-A1B6-4A06-B104-2CD0E90A88FF}\[CLSID]
delref HTTPS://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BCC737-B171-4746-94C9-0D8A0B2C0089}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {65BCBEE4-7728-41A0-97BE-14E1CAE36AAE}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {BDEADE98-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADE9E-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEDE-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {C514A18E-862A-45D3-8A5E-62CF54D912B6}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CDEC13B2-0B3C-400E-B909-E27EE89C6799}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref {E543A17A-F212-49C0-B63D-BF09B460250E}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\CHROMIUM\APPLICATION\CHROME.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\OPERA9\OPERA.EXE
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {42042206-2D85-11D3-8CFF-005004838597}\[CLSID]
delref {05B38830-F4E9-4329-978B-1DD28605D202}\[CLSID]
delref {056D528D-CE28-4194-9BA3-BA2E9197FF8C}\[CLSID]
delref {0596C850-7BDD-4C9D-AFDF-873BE6890637}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {596AB062-B4D2-4215-9F74-E9109B0A8153}\[CLSID]
delref {851AAB5C-2010-4157-9C5D-A28DFA7B2660}\[CLSID]
delref {95F35795-64B1-495D-9DE7-390EECC31EC0}\[CLSID]
delref {7CCA70DB-DE7A-4FB7-9B2B-52E2335A3B5A}\[CLSID]
delref {0006F045-0000-0000-C000-000000000046}\[CLSID]
delref {C5F6CDD1-FB7B-4971-A53F-4B00757F756B}\[CLSID]
delref {75EF3512-D401-4172-BA0F-00E000DCBCE4}\[CLSID]
delref {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB}\[CLSID]
delref {9CE04609-A360-4266-9937-9D799E8D2D5A}\[CLSID]
delref {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\AMSDK.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\ASSTAHCI64.SYS
delref %SystemRoot%\TEMP\CPUZ148\CPUZ148_X64.SYS
delref %Sys32%\DRIVERS\HID7906.SYS
delref %Sys32%\DRIVERS\HWINFO.SYS
delref %Sys32%\DRIVERS\MDCORE.SYS
delref %Sys32%\DRIVERS\MMPSY.SYS
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\XHUNTER1.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDCOM32.DLL
delref P:\INSTALL.EXE
delref T:\SEVEN.EXE
delref I:\SEVEN.EXE
delref V:\AUTORUN.EXE
delref J:\AUTORUN.EXE
delref E:\HISUITEDOWNLOADER.EXE
delref I:\SETUP.EXE
delref {11C9DD7B-CCF5-4502-90A1-FEE8889976D5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\IMAGE UPLOADER\IMAGE UPLOADER.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON36-32\DOC\PYTHON365.CHM
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
1
Читают тему