[QUOTE]RP55 RP55 написал:
+
7) Это может быть ложное срабатывание антивируса.
Обновился компонент\модуль антивируса - проблема исчезла\появилась.
Просто реакция на ссылку из кэша браузера\другой программы.
в том числе и ложная реакция.
и т.д.
В общем  [/QUOTE]
Ну если только на кэш, во всех смыслах :)
А если серьезно - кэш браузера у меня очищается при выходе (полностью).

Либо роутер (сомневаюсь), либо вредная ссылка в веб-версии Скайпа.

Понаблюдаю тогда еще месяц.

Последний пока вопрос - _как_ определить в какой вкладке браузера Firefox
Eset Nod 32 антивирус _нашел_ и _предотвратил_ PUA blocked обращение?

[QUOTE]RP55 RP55 написал:
1) По поводу роутера - то, что я говорил, это не утверждение, а гипотеза.
так-как один роутер = две проблемные системы ( на практике такие случаи часто встречаются )

2) Системы чисты.

3) {searchTerms} здесь нужно смотреть какие поисковые системы легальные\не легальные встроены в браузер.
Вплоть до модификации поисковых систем.

4) Вирус\Adware может существовать _только, как часть реестра...
Любое восстановление реестра\системы из копии\архива... _может привести к повторному заражению.

5) Антивирусные программы - не видят всего, а только то, что видят.

6) Это может быть руткит....

Всё это гадание на кофейной гуще.
Выяснить проблема связана с оборудованием, или нет = смена оборудования ( временная )

По поводу уязвимостей роутеров.
Как известно куча инструментов утекла от спецслужб...
 [URL=https://www.iguides.ru/main/security/tsru_bolshe_10_let_vzlamyvaet_routery_apple]https://www.iguides.ru/main/security/tsru_bolshe_10_let_vzlamyvaet_routery_apple[/URL] ­_i_drugikh_proizvoditeley/

[URL=https://yandex.ru/yandsearch?clid=2186618&text=%D0%A5%D0%B0%D0%BA%D0%B5%D1%80%20%D0%BD%D0%B5%D0%B7%D0%B0%D0%BC%D0%B5%D1%82%D0%BD%D1%8B%D0%B9%20%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC%20%D1%80%D0%BE%D1%83%D1%82%D0%B5%D1%80%D0%B0&lr=43]Ещё.[/URL] [/QUOTE]
Благодарю за ответ

1. Надо смотреть - будем смотреть. Пока-то ничего насмотреть не удается.
Посмотрим Вашу ссылку, почитаем.
Наверное, может человек со сканером, если захочет, подключиться к WIFi, сняв пароль из пакетов,
может (навеное) снять MAC адрес редко используемого устройства и поставить его себе ...
может работать в Интернет через роутер - но чтобы вносить изменения в другие подключенные
к роутеру устройства (ПК Windows) - потребуется
наличие уязвимостей уже и у них и отсутствие админского пароля на шары (а пароль конечно есть).
Также, на момент PUA срабатывания - на роутере я не вижу никаких подключенных устройств,
кроме физически включенных и работающих.

2. Ок.

3. Системы поисковые - легальные (точнее, легитимные) - о чем была переписка чуть раньше.
И delref инструкция тоже убивает только легальные SearchScopes, что и удивило безмерно :)

4. Так нету в реестре Adware, при всем уважении ... Не нашлось.
Из копии/архива реестр не восстанавливаю - не считаю это правильным,
но контольные точки на всякий случай держу.

5.Это ясно

6. Может и РутКит. Но какой-то удивительно молчаливый и спокойный. Причем Dr. Web Cure It
его не видит. И работает РутКит 1-2 раза в неделю - довольно ленивый ...

Можно конечно сделать загрузочную Flash с Dr. Web (или аналогичным средством Nod, если оно существует)  ...
Но я подозреваю, что для этого нужны более веские основания, и РутКит как-то бы себя проявил
более ярко за все эти годы ...

[QUOTE]RP55 RP55 написал:
Если проблема в провайдере то проще всего поставить:
adblockplus:  [URL=https://adblockplus.org/ru/]https://adblockplus.org/ru/[/URL]
и
noscript:  [URL=https://noscript.net/]https://noscript.net/[/URL]
--------
[QUOTE] Serge Arsentiev написал:
изучил вопрос с {searchTerms}[/QUOTE]
[URL=https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx]https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx[/URL] [/QUOTE]
Спасибо за помощь, вот план действий - и по роутеру прошу больше информации ---

Cперва напишу провайдеру. Пока (1 сутки), сообщений от Eset больше нет
по DataDriven больше нет - возможно помогло продление второй лицензии (шучу).

Либо, уехала история в веб Скайпе и Nod перестал замечать вредный URL в истории
и соотв. ругаться на него. В веб Скайпе по всем контактам подгружается история -
включая картинки или контент при упоминании URL, чем стараются пользоваться хакеры,
взламывая скайп экаунта и засылая goo.gl короткие ссылки с вирусами, а Гугл это игнорит.

По реестру и delref = в приведенной Вами заметке на MSDN также
используется {searchTerms} и нет указаний о том что это плохо.

Вот если бы в SearchScopr была активная запись search provider = MegaEvilHacker
= тогда да,тогда бы я удалил все это, но от Bing / Google / Yandex с выбранным
по дефолту Google я вред углядеть решительно не в состоянии, извините.

Тут такая штука - на двух рабочих станциях, на которых проявляются симптомы,
стоял Nod32 лицензия, с самого начала, плюс периодическая проверка ADW Cleaner + Dr. Web Cure It.
Я очень сомневаюсь что что-то могло пробиться - и специально - скорей-скорей -
ставил update относительно "спящих" вирусов-шифраторов, и вроде все встало как надо. Тьфу-тьфу.

Из "странного" софта ставился BsPlayer, который тащил за собой Conduit WebSearch (очень давно) -
но эта штука прибивалась сразу после установки ... позднее - в 2016 году, это был уже некий
LavaSoft TcpWebserive = к сожалению все это в пакете установщика, то есть оставалось
только установить и потом прибить.

Но чтобы "следы" (хвосты) удаленных более 1.5 лет назад в Windows 7
или более 10 лет назад в Win XP софтинок, вдруг стали влиять на поведение браузеров сейчас
- тут, извините, поверить не могу. Я и следов-то этих не вижу, кроме того что App Path bsplayer.exe
живет в ветке реестра Conduit (а другие под-ветки этого дерева давно прибиты как и сам Conduit,
еще до его первого запуска и активации, еще 10 лет назад).

Мы достаточно авторитетно с Вами исследовали вопрос возможного заражения, и ничего не нашли.

Остается роутер DIR 300 старого образца (еще до NRU и прочих новоделов)
по которому Вы упорно, 5-й раз спрашиваю ведь, не хотите называть
• ни наименование возможной уязвимости
• ни конкретно видимые результаты взлома роутера
- повторяю, все настройки на месте и включена MAС фильтрация подключенных станций.
Да, это тоже взламывается, особенно учитывая недавнюю публикацию про взлом WiFi клиентов
даже с AES шифрацией. Но эти-то клиенты у меня на проводах RJ 45 ...

Как проверить уязвимость роутера? Как она должна проявляться в настройках или логе роутера?
Вот не знаю что у Вас срабатывает, но этот вопрос Вы игнорируете :(

За роутером остается провайдер Interzet (Дом.Ру теперь, но настройки все старые).
Они могут что-то портить, скорость доступа замедлилась, как это принято, сразу
после перехода на тариф со скоростью побольше и такой и осталась :)

[QUOTE]RP55 RP55 написал:
Можно зайти сюда и посмотреть текущий IP машин:  [URL=https://yandex.ru/internet/]https://yandex.ru/internet/[/URL]
Если трафик идёт через прокси...
То будут соединённые штаны америки - или ещё, что.[/QUOTE]
На таком уровне - показывает мой IP (внешний).
Просто есть же разного типа прокси, в том числе транспарентные (прозрачные).

Вы знаете, я изучил вопрос с {searchTerms} - посмотрел по TeamViewer другие машины
на Windows 7 и Windows XP: там тоже есть аналогичные записи в реестре -
как в HKLM, так и в HKCU: не все подряд, но некоторые точное такие же
и везде (везде) есть {searchTerms} в коде.

В конце недели наберусь смелости запускать Far сканнер (на случай чего).

Спасибо за помощь!

[QUOTE]RP55 RP55 написал:
В таких случаях рекомендуется перекрёстная проверка.
Идеальных программ нет.
Возможно то чего не видит uVS можно увидеть в FRST
[QUOTE] Serge Arsentiev написал:
делать после ... или[/QUOTE]
Лучше после.
[/QUOTE]
Ок, тогда ночью уже видимо, спасибо за помощь.
У меня подозрения все же в сторону провайдера -
провайдер Интерзет был засвечен lleo (Леонид Каганов)
среди других, которые пропускали траффик пользователей
через маркетинговый прокси ... чтобы еще немного зарабатывать.
Ссылку нашел - вот [URL=https://lleo.me/dnevnik/2015/02/20.html]она[/URL]

Я подозреваю что их система разладилась слегка, а Eset Nod 32 это диагностирует.

[QUOTE]RP55 RP55 написал:
Выполните FRST:  [URL=http://forum.esetnod32.ru/forum9/topic2798/]http://forum.esetnod32.ru/forum9/topic2798/[/URL]
( по сути это расширенный аналог  HiJack )
Напишу в нём скрипт очистки.[/QUOTE]
Прошу прощения, а это делать после ... или вместо предыдущей отработки delref?
Сейчас перезагрузил компьютер, вошел в Firefox - "левых" обращений пока нет.

Пробую грузить скайп. Загрузил, все тихо
У меня все больше подозрения в сторону провайдера ..

[QUOTE]RP55 RP55 написал:
{SEARCHTERMS}[/QUOTE]
Ок, а на чистой системе что в этих местах реестра?
Нет этих записей (ветвей) или есть, но с другими значениям?
Может быть, я просто исправлю эти места в реестре, руками?

Вот тут пишут что [URL=https://malwarefixes.com/remove-searchscopes/]https://malwarefixes.com/remove-searchscopes/[/URL]
"SearchScopes extension is an adware that infiltrate the  computer by means of third-party program. This kind of software was  made to generate revenue for its authors. SearchScopes is offered as a  useful tool with enhancement functions for your web browser. "

А у меня нет этого Add-on ... но записи в реестре есть .. хм, _непонятно_

P.S. Да, я не знаю как работает UVS, возможно это аналог HiJack, etc.
P.P.S. На Windowx XP машине UVS подвис, поэтому тяготею к ручным исправлениям.

[QUOTE]RP55 RP55 написал:
Если из скрипта убрать команду: restart
то удаление можно выполнить без перезагрузки.
--------
В принципе вы сами можете выполнить удаление в ручную.
Запустить uVS  > и вместо вкладки\категории подозрительные и вирусы выбрать вкладку Все.
Доп. информацию по объекту можно посмотреть в: Информация.
Далее команды отдаются правой лапой мыши ( после чего нужно нажать: ( Принять изменения  )[/QUOTE]
Понял чуть больше, смогу заняться вечером, спасибо за помощь.

Что это такое, это следы трояна или malware или подсадка от какого-то сайта?
Но где же тогда сам троян (или прочие его следы)?

[QUOTE]RP55 RP55 написал:
Полное имя                   [URL=HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q=]HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q=[/URL] {SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
Имя файла                    [URL=HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q=]HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q=[/URL] {SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC[/QUOTE]
Ок, но лучше было объяснить что делает скрипт ...

Я так понимаю, в реестре прописаны некие ссылки на поисковые системы
(но среди них ведь нет "левых") - т.е. мы просто очищаем в реестре все
что касается поисковых систем для всех браузеров? Да или нет?

Извините за тупость :)

[QUOTE]RP55 RP55 написал:
Выполните скрипт как на первой так и на второй системе.[/QUOTE]
Ок, смогу вечером, сейчас рабочий день (работать нужно)
Пожалуйста, уточните вкратце, что делает этот скрипт?

Я понимаю что удаляет reference связанные с поисковиками (с параметрами), но откуда именно?