Неизвестный троян. - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 28.08.2018

Размещено 28.08.2018 02:54:27

Здравствуйте!
У меня уже несколько месяцев ESET обнаруживает троян JS/Redirector.NDS на всех приложениях при запуске и не только; и постоянно блокирует/удаляет его. Но видимо источник найти не может, поэтому постоянно появляются всплывающие сообщения с трояном. Несколько раз проводил сканирование - не находит. В гугле по нему ничего нет. Как удалить?
p.s. первый раз создаю тему, не могу загрузить скрины с трояном, текст всплывающего сообщения такой: "УГРОЗА УДАЛЕНА. Объект угроза (JS/Redirector.NDS) был найден, когда приложение *например Microsoft Word/Opera/Steam* пыталось получить доступ к веб-сайту (unblock.ga). Доступ заблокирован."
Использую ESET Smart Security 10

Изменено: Алексей Нуар - 28.08.2018 02:55:18

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.08.2018 05:03:14

добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 28.08.2018

Размещено 28.08.2018 11:52:08

santy,

Прикрепленные файлы

NOIR-PC_2018-08-28_11-43-14.7z (712.35 КБ)

Изменено: Алексей Нуар - 28.08.2018 12:41:53

Сообщений: 4

Баллов: 2

Регистрация: 28.08.2018

Размещено 28.08.2018 12:43:52

santy, понял как прикреплять скрины, на всякий случай вот:

Прикрепленные файлы

Безымянный1.jpg (31.65 КБ)

Безымянный.jpg (30.72 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 28.08.2018 17:52:02

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref 0HTTP://UNBLOCK.GA/FILES/UNBLOCK.PAC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.YANDEX.RU/?WIN=251&CLID=2084453 delref HTTP://UNBLOCK.GA/FILES/UNBLOCK.PAC delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref HTTP://YANDEX.RU/YANDSEARCH?WIN=251&CLID=2084454&TEXT={SEARCHTERMS} apply ;------------------------------------------------------------- deltmp restart ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref J:\GAMES\THESUFFERINGTTB.EXE delref %SystemDrive%\USERS\NOIR\DESKTOP\CONTROLMKV0232.EXE delref D:\DOWNLOADS\MAGICKA_STEAM-FIX_BYUBERPSYX.EXE delref D:\DOWNLOADS\MAGICKA_LAN_FIX_BYUBERPSYX.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.110\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref EZCDDAX EXTENSION\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {967B2D40-8B7D-4127-9049-61EA0C2C6DCE}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref {5F327514-6C5E-4D60-8F16-D07FA08A78ED}\[CLSID] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref D:\DOWNLOADS\PROGRAMMS\ULTRAISO PREMIUM EDITION V9.6.2.3059 FINAL ML_RUS (DC 25.08.2014)\ULTRAISO PREMIUM EDITION V9.6.2.3059 PORTABLE BY PORTABLEAPPZ (DC 25.08.2014)\APP\ULTRAISO\DRIVERS\ISODRV64.SYS delref E:\CDRIVER64.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MSI\SUPER CHARGER\NTIOLIB_X64.SYS delref E:\NTIOLIB_X64.SYS delref F:\NTIOLIB_X64.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID] delref E:\SETUP\RSRC\AUTORUN.EXE delref E:\DIRECTX\DXSETUP.EXE delref {5941A0E4-56C1-4A49-9B18-05762CAC5F9B}\[CLSID] delref {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4}\[CLSID] delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID] delref {E753A93F-2367-4978-BFA0-83048C1E61CB}\[CLSID] delref {F1F53366-3E11-47AB-BF84-580C94F9C9AD}\[CLSID] delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE apply

Код


;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref 0HTTP://UNBLOCK.GA/FILES/UNBLOCK.PAC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.YANDEX.RU/?WIN=251&CLID=2084453
delref HTTP://UNBLOCK.GA/FILES/UNBLOCK.PAC
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://YANDEX.RU/YANDSEARCH?WIN=251&CLID=2084454&TEXT={SEARCHTERMS}
apply

;-------------------------------------------------------------

deltmp
restart
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref J:\GAMES\THESUFFERINGTTB.EXE
delref %SystemDrive%\USERS\NOIR\DESKTOP\CONTROLMKV0232.EXE
delref D:\DOWNLOADS\MAGICKA_STEAM-FIX_BYUBERPSYX.EXE
delref D:\DOWNLOADS\MAGICKA_LAN_FIX_BYUBERPSYX.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.110\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref EZCDDAX EXTENSION\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {967B2D40-8B7D-4127-9049-61EA0C2C6DCE}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {5F327514-6C5E-4D60-8F16-D07FA08A78ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref D:\DOWNLOADS\PROGRAMMS\ULTRAISO PREMIUM EDITION V9.6.2.3059 FINAL ML_RUS (DC 25.08.2014)\ULTRAISO PREMIUM EDITION V9.6.2.3059  PORTABLE BY PORTABLEAPPZ (DC 25.08.2014)\APP\ULTRAISO\DRIVERS\ISODRV64.SYS
delref E:\CDRIVER64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\SUPER CHARGER\NTIOLIB_X64.SYS
delref E:\NTIOLIB_X64.SYS
delref F:\NTIOLIB_X64.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref E:\SETUP\RSRC\AUTORUN.EXE
delref E:\DIRECTX\DXSETUP.EXE
delref {5941A0E4-56C1-4A49-9B18-05762CAC5F9B}\[CLSID]
delref {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4}\[CLSID]
delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
delref {E753A93F-2367-4978-BFA0-83048C1E61CB}\[CLSID]
delref {F1F53366-3E11-47AB-BF84-580C94F9C9AD}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 4

Баллов: 2

Регистрация: 28.08.2018

Размещено 29.08.2018 16:24:53

RP55 RP55, всё протестировал, много прог позапускал, проблема решена. Благодарю за помощь!

Сообщений: 12

Баллов: 6

Регистрация: 24.01.2020

Размещено 20.05.2020 22:32:06

Здравствуйте. У меня уже 3 день похожая проблема с JS/Redirector.NDS. Начиная с 18 мая каждый день один раз в день в 21:32 nod32 блокирует ссылку в firefox(она не висит во вкладках и я уже очень давно на неё не переходил, так как сайт давно уже не работает или переехал). Я проверил планировщик задач, процессы и автозагрузку - всё чисто.Прошёлся по настройкам firefox - тоже ничего такого не нашёл. У меня вопрос, если эта ссылка находится у меня в закладках(именно в закладках, а не открытых вкладках), злоумышленник может через него что-то сделать? Я за эти дни точно ничего нового не ставил и по новым незнакомым ссылкам не переходил, всё началось спонтанно, словно на сайт загрузили троян и он пытается загрузится в определённое время с закладок. Помогите понять ситуацию и исправить проблему тонко и вручную. Надеюсь на поддержку и понимание.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 21.05.2020 13:11:55

Роман
Если запуск\обнаружение - угрозы происходит в одно и то же время - значит работает системный планировщик заданий.
-------------------
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Сообщений: 12

Баллов: 6

Регистрация: 24.01.2020

Размещено 21.05.2020 13:48:44

Но там совсем пусто. Да и вчера, когда браузер случайно крашнулся(у меня такое бывает), то при запуске эта угроза сразу же появилась, т.е. второй раз за день, после "запланированного". Если в браузере остались какие-нибудь старые куки от сайта, то после заражения этого сайта могут возникать такие угрозы, даже не открывая сам этот сайт?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2020 16:03:35

Роман Лёпа,

Цитата
Создайте образ автозапуска в uVS http://forum.esetnod32.ru/forum9/topic2687/ + добавьте лог журнала обнаружения угроз http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

[ Закрыто ] Неизвестный троян.