Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Сообщение на китайском и незакрываемое окно

1 2 След.
RSS
 
Максим Канцер
Максим Канцер
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 12.03.2017
Размещено 17.03.2017 13:55:23
Добрый день, недавно у меня появилось две проблемы, которые вы можете наблюдать на скриншотах. При открытии некоторых страниц в браузере иногда появляется сообщение на китайском(?) языке, при чем ВСЕ написано на китайском, никакой информации нода там нет, ни адреса на который он ругается, ни типа угрозы. Благо это окно можно ЗАКРЫТЬ. Вторая проблема, которая появилась пару недель назад - я не могу закрыть окно с предупреждением нежелательного ПО, нет выбора действий, нет крестика, вообще ничего, через панель тоже, т.к. окно не фиксируется в панели задач, а просто висит поверх открытых программ, и единственный способ от него избавиться это выход пользователя или перезагрузка. Никаких изменений в настройки антивируса я не вносил, эти проблемы вероятно вызваны обновлением. Система ОС Win7 x64, версия нода антивирус 8.0.319.1, меня полностью устраивала(до этих событий), обновляться на другие не планирую.
chinese shit.png (25.33 КБ)
tupoi nod.png (15.23 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.03.2017 14:08:51
Максим,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Nikita Stoyan
Nikita Stoyan
Администратор
Сообщений: 78
Баллов: 63
Регистрация: 16.03.2017
Размещено 17.03.2017 15:15:15
После появления уведомления в файлах журнала антивируса должна появится строка, скопируйте сюда ее содержимое.
Антивирус обновляется с официальных серверов ESET?
 
Максим Канцер
Максим Канцер
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 12.03.2017
Размещено 17.03.2017 16:03:44
Цитата
santy написал:
Максим,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

После появления уведомления в файлах журнала антивируса должна появится строка, скопируйте сюда ее содержимое.
Антивирус обновляется с официальных серверов ESET?

В журнале информации нет, антивирус обновляется с официальных серверов.
Изменено: Максим Канцер - 17.03.2017 16:09:05
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.03.2017 16:49:26
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

del D:\GOOGLE CHROME\CHROME.BAT

regt 28
regt 29
; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.03.2017 16:55:11
+
'этот файл проверьте на http://virustotal.com
C:\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE
и добавьте линк проверки в ваше сообщение.
[ Как создать образ автозапуска? ]
 
Максим Канцер
Максим Канцер
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 12.03.2017
Размещено 17.03.2017 17:27:18
Цитата
santy написал:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

del D:\GOOGLE CHROME\CHROME.BAT

regt 28
regt 29
; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Исключил из скрипта строку "del D:\GOOGLE CHROME\CHROME.BAT", т.к. это портабл браузер и бат файл создан мной, в нем прописан профиль для загрузки.

При скачивании браузера Амиго(для проверки, не для использования, упаси б-г) опять появляется сообщение с иероглифами.
Цитата
santy написал:
+
'этот файл проверьте на  http://virustotal.com
C:\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE
и добавьте линк проверки в ваше сообщение.
https://virustotal.com/ru/file/1780a985141d849a480e9176eab8b7bc3536be5af1199016­fcdfa211e67df33b/anal...
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 17.03.2017 17:27:28
+
Подозрительные объекты.
C:\USERS\PUBLIC\DESKTOP\XIAOMIFLASH.EXE.LNK
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\XIAOMIFLASH\XIAOMIFLASH.EXE.LNK
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 17.03.2017 17:31:24
К предыдущему сообщению.

1) В Malwarebytes - всё найденное можно удалить.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
 
Максим Канцер
Максим Канцер
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 12.03.2017
Размещено 17.03.2017 17:56:03
Цитата
RP55 RP55 написал:
+
Подозрительные объекты.
C:\USERS\PUBLIC\DESKTOP\XIAOMIFLASH.EXE.LNK
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\XIAOMIFLASH\XIAOMIFLASH.EXE.LNK
Это флешер для телефона, уверен что с ним все в порядке.
 
1 2 След.
Читают тему