Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Уведомления , "адрес заблокирован"

1
RSS
 
андрей Пичугин
андрей Пичугин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.03.2015
Размещено 02.03.2015 23:18:28
В последнее время стали всплывать уведомления вроде "адрес сайта заблокирован". Сделал образ при помощи uVP,который прикрепил ниже. Причем,со временем сайты постоянно меняются
Снимок.PNG (34.37 КБ)
Изменено: андрей Пичугин - 02.03.2015 23:26:58
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.03.2015 23:50:12
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
delall %SystemDrive%\PROGRAMDATA\{28BADB19-067C-4DAE-28BA-ADB190676C64}\ROOT_GPAD.ZIP.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\7D50\TEMP\ROOT_GPAD.ZIP.EXE
delref HTTP://WEBSEARCH.SWELLSEARCH.INFO/?PID=20495&R=2015/03/01&HID=14063232913953438624&LG=EN&CC=RU&UNQVL=84
delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1425195274&FROM=WPC&UID=ST500LT012-1DG142_S3P3XFLZXXXXS3P3XFLZ
delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1425195274&FROM=WPC&UID=ST500LT012-1DG142_S3P3XFLZXXXXS3P3XFLZ&Q={SEARCHTERMS}
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ROOT_GPAD.ZIP.LNK
zoo C:\PROGRA~2\coolsoft\coolsoft.dll
zoo C:\Program Files (x86)\youtubeadblocker\jmYv4UAdpfPlCY.exe
exec "%LOCALAPPDATA%\Pokki\Uninstall.exe"
exec32 "C:\WINDOWS\system32\RUNDLL32.EXE" "C:\PROGRA~2\coolsoft\coolsoft.dll",_uninstall /un
exec32 "C:\Program Files (x86)\youtubeadblocker\jmYv4UAdpfPlCY.exe" /s /n /i:"ExecuteCommands;UninstallCommands" ""
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
андрей Пичугин
андрей Пичугин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.03.2015
Размещено 03.03.2015 06:17:25
Проблема не решилась,возможно из-за того,что те файлы которые удалялись скриптом я удалил вручную до этого. Архив zoo получился пустым,но вот сканирование программой показало проблемы. Все что нашло,я удалил
Снимок_1.PNG (63.05 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 06:23:18
далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]
----------
пишем результат
[ Как создать образ автозапуска? ]
 
андрей Пичугин
андрей Пичугин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.03.2015
Размещено 03.03.2015 06:43:11
Все папки удалил (лог ниже). Но положительного результата пока нет
Снимок_2.PNG (98.23 КБ)
Снимок_3.PNG (17.63 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 07:11:42
сделайте проверку в FRST
[ Как создать образ автозапуска? ]
 
андрей Пичугин
андрей Пичугин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.03.2015
Размещено 03.03.2015 11:10:14
сделал, здесь два файла
p.s. в большинстве уведомлений указан один и тот же ip 54.69.230.10
Изменено: андрей Пичугин - 03.03.2015 11:12:12
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 11:32:45
сохраните код в файл fixlist.txt и положите файл fixlist.txt в папку, откуда запускаете frst.exe.
еще раз запустите frst.exe (если не запущен сейчас) и нажмите кнопку fix
Код
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR dev: Chrome dev build detected! <======= ATTENTION
BHO: UniDeaLsa -> {055f6683-fb13-4007-a21e-c2fbcfb2bfdc} ->  No File
BHO: UniDeals -> {418eb00e-64d1-432c-8811-5c57257b495d} ->  No File
BHO: UniDealssa -> {48be9c81-a658-4824-9fd2-955c2e610247} ->  No File
BHO: UniDealisii -> {6302a321-13f5-4a0f-9daf-6880b55ef160} ->  No File
BHO: youtubeadblocker -> {9c24a415-c3ec-4596-ab7a-438b1fe5e5e6} ->  No File
CHR StartupUrls: Default -> "hxxp://4pda.ru/", "hxxp://www.mystartsearch.com/?type=hp&ts=1425195274&from=wpc&uid=ST500LT012-1DG142_S3P3XFLZXXXXS3P3XFLZ"
CHR Extension: (YouTube) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-01-26]
CHR Extension: (Pushbullet) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\chlffgpmiacpedhhbkiomidkjlcfhogd [2015-01-26]
CHR Extension: (Tampermonkey) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-01-26]
CHR Extension: (YaVoice) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifcpbicednmacedefboponipkjlafeih [2015-01-26]
CHR Extension: (Ed2kHelper) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmeeplonmihpchdbfccgmjhcnpecbppk [2015-03-01]
Reboot:
будет перезагрузка системы,
пишем результат, что стало с проблемой.
[ Как создать образ автозапуска? ]
 
андрей Пичугин
андрей Пичугин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.03.2015
Размещено 03.03.2015 11:43:56
Проблема вроде бы исчезла. Пару раз сделал перезапуск и ничего не заметил. Всем огромное спасибо!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 12:28:35
хорошо, тему закрываю.
видимо левое расширение Хрома было тому виной, и оно через локальную политику Хрома могло восстановиться.
[ Как создать образ автозапуска? ]
 
1
Читают тему