Адрес заблокирован - Форум технической поддержки ESET NOD32

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2018

Размещено 11.01.2018 12:51:22

Здравствуйте, та же проблема, только с другим адресом. Появляется с разной переодичностью, бывает по несколько сообщений в минуту, такое ощущение что при любой активности пользователя. прикрепляю журнал и образ автозапуска.

Прикрепленные файлы

WALL-ПК_2018-01-11_14-35-44.7z (829.06 КБ)
лог журнала обнаруженных угроз.txt (3.75 КБ)
Адресс.txt (74 Б)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.01.2018 15:24:32

Валентин,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\WALL\APPDATA\LOCAL\ADOBE\ADOBEZ.EXE addsgn 1A592D9A5583338CF42B627DA804DEC9E946303A45AD49F3F1E7D5371CF265C75F33CFDCFFDE4C4AEDBB7AE94E2DB1F5FFB7EB7255D50A09590FE62FC6752580 8 Trojan:Win32/Tiggre!rfn [Microsoft] 7 zoo %SystemDrive%\PROGRAM FILES\UBAR\UBARSERVICE.EXE addsgn BA6F9BB2BDD958720B9C2D754C2150FBDA75303AC9A957FB69E38D37892964959517C3EE3F559D49A28582DE4716A1F765DFE83ADE1158293377A4ACFAF46272 8 Adware.Plugin.1444 [DrWeb] 7 chklst delvir deldirex %SystemDrive%\USERS\WALL\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\WALL\APPDATA\ROAMING\CURL\CURL_7_54.EXE delref HTTP://ELTUGNO.RU/F.EXE delref %SystemDrive%\USERS\WALL\APPDATA\ROAMING\CURL\CURL.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINDJGIEBMAKHMNAPLNLNANODKFIEJFJD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLFGKMLLDJPJACGICDJMMGCBOIHBGHPAL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://OVGORSKIY.RU delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILKOJMGHLHBICBFOIIKGCNJPANBMJGGM\8.22.7_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС apply deltmp delref %SystemRoot%\SYSWOW64\HASPLMS.EXE delref %SystemDrive%\PROGRAMDATA\9E6E60FC-6151-1\9E6E60FC-6151-1.D delref %SystemDrive%\PROGRAMDATA\9E6E60FC-39C3-0\9E6E60FC-39C3-0.D delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\DUCKGO\DUCKGO.EXE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\SYSLOG\SYSLOG.EXE delref %SystemDrive%\USERS\WALL\DESKTOP\CX-ONE\SETUP.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES\ASCON\KOMPAS-3D V15\BIN\KTHUMB64.DLL delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref %Sys32%\DRIVERS\TPM.SYS delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %Sys32%\BLANK.HTM delref {EB8A988A-17D1-4877-BBC3-72BF34EA8803}\[CLSID] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\EA3HOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI delref %Sys32%\PSXSS.EXE delref %SystemRoot%\WINSXS\AMD64_FARO.LS_1D23F5635BA800AB_1.1.502.0_NONE_347E8AE1032F54AF\IQOPEN.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemRoot%\WINSXS\AMD64_FARO.LS_1D23F5635BA800AB_1.1.502.0_NONE_347E8AE1032F54AF\FARO.LS.SDK.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\OMRON\CPLS\DMTCONTROLLER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRA~2\ASCON\KOMPAS~1\LIBS\MEASUR~1\MEASUR~1.DLL delref E:\SETUP.EXE delref F:\SETUP.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\WALL\APPDATA\LOCAL\ADOBE\ADOBEZ.EXE
addsgn 1A592D9A5583338CF42B627DA804DEC9E946303A45AD49F3F1E7D5371CF265C75F33CFDCFFDE4C4AEDBB7AE94E2DB1F5FFB7EB7255D50A09590FE62FC6752580 8 Trojan:Win32/Tiggre!rfn [Microsoft] 7

zoo %SystemDrive%\PROGRAM FILES\UBAR\UBARSERVICE.EXE
addsgn BA6F9BB2BDD958720B9C2D754C2150FBDA75303AC9A957FB69E38D37892964959517C3EE3F559D49A28582DE4716A1F765DFE83ADE1158293377A4ACFAF46272 8 Adware.Plugin.1444 [DrWeb] 7

chklst
delvir

deldirex %SystemDrive%\USERS\WALL\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\WALL\APPDATA\ROAMING\CURL\CURL_7_54.EXE
delref HTTP://ELTUGNO.RU/F.EXE
delref %SystemDrive%\USERS\WALL\APPDATA\ROAMING\CURL\CURL.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINDJGIEBMAKHMNAPLNLNANODKFIEJFJD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLFGKMLLDJPJACGICDJMMGCBOIHBGHPAL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://OVGORSKIY.RU
delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILKOJMGHLHBICBFOIIKGCNJPANBMJGGM\8.22.7_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAMDATA\9E6E60FC-6151-1\9E6E60FC-6151-1.D
delref %SystemDrive%\PROGRAMDATA\9E6E60FC-39C3-0\9E6E60FC-39C3-0.D
delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\DUCKGO\DUCKGO.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\WALL\APPDATA\LOCAL\SYSLOG\SYSLOG.EXE
delref %SystemDrive%\USERS\WALL\DESKTOP\CX-ONE\SETUP.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\ASCON\KOMPAS-3D V15\BIN\KTHUMB64.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {EB8A988A-17D1-4877-BBC3-72BF34EA8803}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\EA3HOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI
delref %Sys32%\PSXSS.EXE
delref %SystemRoot%\WINSXS\AMD64_FARO.LS_1D23F5635BA800AB_1.1.502.0_NONE_347E8AE1032F54AF\IQOPEN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemRoot%\WINSXS\AMD64_FARO.LS_1D23F5635BA800AB_1.1.502.0_NONE_347E8AE1032F54AF\FARO.LS.SDK.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\OMRON\CPLS\DMTCONTROLLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\ASCON\KOMPAS~1\LIBS\MEASUR~1\MEASUR~1.DLL
delref E:\SETUP.EXE
delref F:\SETUP.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2018

Размещено 12.01.2018 12:46:57

Сделал малваром скан глубокий, потом запустил скрипт. после перезагрузки быстрый скан малваром показал только активатор винды. А вот глубокий скан показал много интересного. Ничего убирать в карантин не стал, решил подождать ответа. При этом сообщения о блокировки адресов продолжали вылазить, но на этот раз малвар показал источник одного из них. Это оказался Хром ехе. Переустановил хром, исообщения перестали вылазить. Остался вопрос с остальными объектами найденными малваром.

Прикрепленные файлы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.01.2018 13:18:22

проблема возможно не в самом Chrome, он как раз нормальный с цифровой подписью от Google, а в некоторых его расширениях.

по логам малваребайт:

удалите все найденное за исключением ваших активаторов.
-----------
далее,

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]