Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

блокируются соцсети ... , заблокировались соцсети

1 2 След.
RSS
 
Natan
Natan
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 30.09.2012
Размещено 21.03.2013 15:55:46
На компьютере стоит ESS. Заблокировались соцсети - вконтакте, однокласники - просит вводить что-то, размораживать страницу. С другого компьютера в профили соцсетей заходит.
Полная проверка Dr.Web Cureit и ESS ничего не дает.
После очисток всего подозрительного и временных каталогов через UVS cимптомы пропадают, но быстро вновь появляются.
Файл hosts чистый. Что-то я упускаю из виду. А нужно некстати срочно.
Полный образ автозагрузки UVS прикреплен. Можете помочь?

UVS: V_2013-03-21_00-44-33.7z (284.54 КБ)
Hijackthis:hijackthis_21032013_1.txt (9.31 КБ)
Изменено: Natan - 21.03.2013 16:04:52
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.03.2013 16:06:19
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl EA0418C25DBCE2A16DF45B3CF4DA2EA8 150768
addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar
bl 96A768DD52FF0115FFF85142056B3AF0 2261024
addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3
chklst
delvir
deltmp
delnfr
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://QIP.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВАСИЛЬ\LOCAL SETTINGS\TEMP\1D720A920.SYS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВАСИЛЬ\LOCAL SETTINGS\TEMP\1E65AF474.SYS
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
Natan
Natan
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 30.09.2012
Размещено 21.03.2013 16:34:21
им я уже проверял, там были подозрительные файлы, которые я вручную переименовал, добавив лишний символ
MBAM log: MBAM-log-2013-03-21 (16-22-20).txt (2.49 КБ)

Вопрос: если я забыл отключить ESS на время выполнения скрипта, для данного скрипта это не страшно? Или повторить?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.03.2013 16:35:56
не страшно. что с проблемой?
какой тип подключения к интернету? роутер есть?
Правильно заданный вопрос - это уже половина ответа
 
Natan
Natan
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 30.09.2012
Размещено 21.03.2013 16:47:26
Странно, как будто ничего и не делали. Не помогло даже временно... Подключение - кабель. Без роутера.
Может, снова сделать лог UVS?

P.S.
ESS вроде бы синхронно с заходом на мэйл.ру говорил
21.03.2013 17:01:15 Обнаружена атака путем подделки записей кэша DNS 192.168.137.1:53 192.168.137.207:53043 UDP
Хотя связано ли это с проблемой - не уверен. Раз бывает даже советуют отключать настройку этого детекта в ESS, насколько я помню.

Новый лог UVS на всякий случай: V_2013-03-21_16-51-23.7z (285.89 КБ)
Изменено: Natan - 21.03.2013 17:27:14
 
Валентин
Валентин
Администратор
Сообщений: 5199
Баллов: 4169
Регистрация: 12.05.2010
Размещено 21.03.2013 17:28:02
Цитата
Natan пишет:
Может, снова сделать лог UVS?
Да, пришлите, пожалуйста, новый лог.
ESET Technical Support
 
Natan
Natan
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 30.09.2012
Размещено 21.03.2013 17:34:51
В предыдущем посте уже приложил его.
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 14378
Регистрация: 16.03.2010
Размещено 21.03.2013 19:13:57
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
exec RUNDLL32.EXE C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\CPN\YCOMP5~1.DLL,DLLCOMMAND UI
exec C:\WINDOWS\ISUNINST.EXE -F"C:\PROGRAM FILES\COMMON FILES\ADOBE\ACROBAT 4.0\NT\UNINST.ISU" -C"C:\PROGRAM FILES\COMMON FILES\ADOBE\ACROBAT 4.0\NT\UNINST.DLL"
exec C:\WINDOWS\ISUNINST.EXE -F"C:\PROGRAM FILES\COMMON FILES\ADOBE\ACROBAT 5.0\NT\UNINST.ISU" -C"C:\PROGRAM FILES\COMMON FILES\ADOBE\ACROBAT 5.0\NT\UNINST.DLL"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
 
Natan
Natan
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 30.09.2012
Размещено 21.03.2013 21:24:06
Не помогло...

Кстати, на стадии наверное этой
exec RUNDLL32.EXE C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\CPN\YCOMP5~1.DLL,DLLCOMMAND UI
появилось окошко с сообщением

"Ошибка в C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\CPN\YCOMP5~1.DLL, Отсутствует: DLLCOMMAND"
Библиотека видимо, не удаляется? Но после его закрытия старые версии акробата удалялись нормально.

Переместил куда подальше всю папку YAHOO!\.. .\CPN\  на всякий случай. Тоже не помогло пока.

Лог AdwCleaner : AdwCleaner[R1].txt (2.76 КБ)
Изменено: Natan - 21.03.2013 21:51:35
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 14378
Регистрация: 16.03.2010
Размещено 21.03.2013 21:52:39
удалите найденное в AdwCleaner по кнопке Delete
с перезагрузкой системы

пишем результат
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему