Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

[ Закрыто ] PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? , PUA list срабатывания - как понять с какого из сайтов они происходят?

RSS
Здравствуйте,

В логах на двух компьютерах вижу, приблизительно одинаковые PUA срабатывания
Time;URL;Status;Application;User;IP address;SHA1
11/5/2017 10:32:26 PM;
http : // dAtadrivensolution.com/?kw=ftz&p=2&rndx=1509910345790
Blocked y PUA blacklist;C:\Program Files\Mozilla Firefox\firefox.exe;();199.59.242.150;92E905657C0B6ED442000D6A79D74367CF807296

В адресе очевидно вредного хоста поменял первую a на русскую заглавную (чтобы не распространять вредные ссылки)

По IP адресу - несколько сотен сайтов - http://viewdns.info/reverseip/?host=199.59.242.150&t=1

Понять, в какой из вкладок Firefox какой из сайтов пытался что-то подгрузиться с указанного выше
нехорошего dAtadrivensolution , не могу ... Как это лучше сделать? Это в принципе можно сделать?

Есть подозрения на веб версию Скайпа, где много общаюсь, и где часть контактов периодически
ломают и засылают вирусные ссылки - но проверить это никак не могу ... Может подгружаться история
Скайпа и Nod видит вредную ссылку и тут же ее блокирует ... но сомневаюсь ..

P.S. Пару недель назад было аналогичное про mb.moAtads.com (русскую А опять вместо a англ.) -
но там это четко произошло при загрузке стартовой страницы MSN с новостями - это происходит,
когда редко, но загружаю Internet Explorer чтобы проверить один сайт в другом браузере (чистый).
Изменено: Serge Arsentiev - 06.11.2017 12:48:35

Ответы

Цитата
RP55 RP55 написал:
{SEARCHTERMS}
Ок, а на чистой системе что в этих местах реестра?
Нет этих записей (ветвей) или есть, но с другими значениям?
Может быть, я просто исправлю эти места в реестре, руками?

Вот тут пишут что https://malwarefixes.com/remove-searchscopes/
"SearchScopes extension is an adware that infiltrate the  computer by means of third-party program. This kind of software was  made to generate revenue for its authors. SearchScopes is offered as a  useful tool with enhancement functions for your web browser. "

А у меня нет этого Add-on ... но записи в реестре есть .. хм, _непонятно_

P.S. Да, я не знаю как работает UVS, возможно это аналог HiJack, etc.
P.P.S. На Windowx XP машине UVS подвис, поэтому тяготею к ручным исправлениям.
Изменено: Serge Arsentiev - 08.11.2017 14:46:39
Можно и HiJack воспользоваться для удаления записей.
Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
( по сути это расширенный аналог  HiJack )
Напишу в нём скрипт очистки.
Изменено: RP55 RP55 - 08.11.2017 16:10:54
Цитата
RP55 RP55 написал:
Выполните FRST:  http://forum.esetnod32.ru/forum9/topic2798/
( по сути это расширенный аналог  HiJack )
Напишу в нём скрипт очистки.
Прошу прощения, а это делать после ... или вместо предыдущей отработки delref?
Сейчас перезагрузил компьютер, вошел в Firefox - "левых" обращений пока нет.

Пробую грузить скайп. Загрузил, все тихо
У меня все больше подозрения в сторону провайдера ..
Изменено: Serge Arsentiev - 08.11.2017 17:00:42
В таких случаях рекомендуется перекрёстная проверка.
Идеальных программ нет.
Возможно то чего не видит uVS можно увидеть в FRST

Цитата
Serge Arsentiev написал:
делать после ... или

Лучше после.
Цитата
RP55 RP55 написал:
В таких случаях рекомендуется перекрёстная проверка.
Идеальных программ нет.
Возможно то чего не видит uVS можно увидеть в FRST
Цитата
 Serge Arsentiev  написал:
делать после ... или
Лучше после.
Ок, тогда ночью уже видимо, спасибо за помощь.
У меня подозрения все же в сторону провайдера -
провайдер Интерзет был засвечен lleo (Леонид Каганов)
среди других, которые пропускали траффик пользователей
через маркетинговый прокси ... чтобы еще немного зарабатывать.
Ссылку нашел - вот она

Я подозреваю что их система разладилась слегка, а Eset Nod 32 это диагностирует.
Изменено: Serge Arsentiev - 08.11.2017 17:16:17
Можно зайти сюда и посмотреть текущий IP машин: https://yandex.ru/internet/
Если трафик идёт через прокси...
То будут соединённые штаны америки - или ещё, что.
Цитата
RP55 RP55 написал:
Можно зайти сюда и посмотреть текущий IP машин:  https://yandex.ru/internet/
Если трафик идёт через прокси...
То будут соединённые штаны америки - или ещё, что.
На таком уровне - показывает мой IP (внешний).
Просто есть же разного типа прокси, в том числе транспарентные (прозрачные).

Вы знаете, я изучил вопрос с {searchTerms} - посмотрел по TeamViewer другие машины
на Windows 7 и Windows XP: там тоже есть аналогичные записи в реестре -
как в HKLM, так и в HKCU: не все подряд, но некоторые точное такие же
и везде (везде) есть {searchTerms} в коде.

В конце недели наберусь смелости запускать Far сканнер (на случай чего).

Спасибо за помощь!
Если проблема в провайдере то проще всего поставить:
adblockplus: https://adblockplus.org/ru/
и
noscript: https://noscript.net/
--------


Цитата
Serge Arsentiev написал:
изучил вопрос с {searchTerms}
https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx
Цитата
RP55 RP55 написал:
Если проблема в провайдере то проще всего поставить:
adblockplus:  https://adblockplus.org/ru/
и
noscript:  https://noscript.net/
--------
Цитата
 Serge Arsentiev  написал:
изучил вопрос с {searchTerms}
https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx
Спасибо за помощь, вот план действий - и по роутеру прошу больше информации ---

Cперва напишу провайдеру. Пока (1 сутки), сообщений от Eset больше нет
по DataDriven больше нет - возможно помогло продление второй лицензии (шучу).

Либо, уехала история в веб Скайпе и Nod перестал замечать вредный URL в истории
и соотв. ругаться на него. В веб Скайпе по всем контактам подгружается история -
включая картинки или контент при упоминании URL, чем стараются пользоваться хакеры,
взламывая скайп экаунта и засылая goo.gl короткие ссылки с вирусами, а Гугл это игнорит.

По реестру и delref = в приведенной Вами заметке на MSDN также
используется {searchTerms} и нет указаний о том что это плохо.

Вот если бы в SearchScopr была активная запись search provider = MegaEvilHacker
= тогда да,тогда бы я удалил все это, но от Bing / Google / Yandex с выбранным
по дефолту Google я вред углядеть решительно не в состоянии, извините.

Тут такая штука - на двух рабочих станциях, на которых проявляются симптомы,
стоял Nod32 лицензия, с самого начала, плюс периодическая проверка ADW Cleaner + Dr. Web Cure It.
Я очень сомневаюсь что что-то могло пробиться - и специально - скорей-скорей -
ставил update относительно "спящих" вирусов-шифраторов, и вроде все встало как надо. Тьфу-тьфу.

Из "странного" софта ставился BsPlayer, который тащил за собой Conduit WebSearch (очень давно) -
но эта штука прибивалась сразу после установки ... позднее - в 2016 году, это был уже некий
LavaSoft TcpWebserive = к сожалению все это в пакете установщика, то есть оставалось
только установить и потом прибить.

Но чтобы "следы" (хвосты) удаленных более 1.5 лет назад в Windows 7
или более 10 лет назад в Win XP софтинок, вдруг стали влиять на поведение браузеров сейчас
- тут, извините, поверить не могу. Я и следов-то этих не вижу, кроме того что App Path bsplayer.exe
живет в ветке реестра Conduit (а другие под-ветки этого дерева давно прибиты как и сам Conduit,
еще до его первого запуска и активации, еще 10 лет назад).

Мы достаточно авторитетно с Вами исследовали вопрос возможного заражения, и ничего не нашли.

Остается роутер DIR 300 старого образца (еще до NRU и прочих новоделов)
по которому Вы упорно, 5-й раз спрашиваю ведь, не хотите называть
• ни наименование возможной уязвимости
• ни конкретно видимые результаты взлома роутера
- повторяю, все настройки на месте и включена MAС фильтрация подключенных станций.
Да, это тоже взламывается, особенно учитывая недавнюю публикацию про взлом WiFi клиентов
даже с AES шифрацией. Но эти-то клиенты у меня на проводах RJ 45 ...

Как проверить уязвимость роутера? Как она должна проявляться в настройках или логе роутера?
Вот не знаю что у Вас срабатывает, но этот вопрос Вы игнорируете :(

За роутером остается провайдер Interzet (Дом.Ру теперь, но настройки все старые).
Они могут что-то портить, скорость доступа замедлилась, как это принято, сразу
после перехода на тариф со скоростью побольше и такой и осталась :)
Изменено: Serge Arsentiev - 09.11.2017 20:47:14
Читают тему