http://forum.esetnod32.ru Новое в теме PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 08:00:23 +0300 PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Стоит написать в тех поддержку ESET: support@esetnod32.ru
Детально описать ситуацию и попросить разобраться - есть реальная угроза со стороны сайта, или нет.
Если нет - просить снять обнаружение, если есть, то  - заблокировать сайт и пусть уже сами владельцы сайта разбираются - чистят сайт и деблокируют его.
=============
Ок, еще сутки подожду реакции от их админов, а в субботу напишу на указанную почту.
17.11.2017 15:08:50, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101119/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101119/ Fri, 17 Nov 2017 15:08:50 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Стоит написать в тех поддержку ESET: support@esetnod32.ru
Детально описать ситуацию и попросить разобраться - есть реальная угроза со стороны сайта, или нет.
Если нет - просить снять обнаружение, если есть, то  - заблокировать сайт и пусть уже сами владельцы сайта разбираются - чистят сайт и деблокируют его.
17.11.2017 11:45:24, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101117/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101117/ Fri, 17 Nov 2017 11:45:24 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
В uVS есть кнопка: Donate

====quote====
 Serge Arsentiev  написал:
разветвите
=============
Это уже был выверт подсознания.  
=============
Пожалуйста уточните, если проблема диагностирована (выявлен сайт,
вызывающий эти срабатывания), подтверждена другими пользователями сайта
а администрация сайта отказывается что-либо исправлять - что делать?

Проблема разово возникает после первого логина пользователя,
т.е. чтобы ее увидеть, надо иметь активный логин (и войти с ним на сайт)
17.11.2017 10:17:42, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101115/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101115/ Fri, 17 Nov 2017 10:17:42 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
В uVS есть кнопка: Donate

====quote====
 Serge Arsentiev  написал:
разветвите
=============
Это уже был выверт подсознания.  
=============
Ясно, понял, буду копить на Donate

Случайно совершенно нашелся сайт, который вызывал PUA срабатывания.
Не могу его светить, он так-то большой и хороший, попытка обсуждения
тут же вызвала еще 2 комментария про такие же Datadriven срабатывания
и топ тут же закрыли

Будем надеяться, что они исправятся - ведь уйму времени мы потратили Вашего

Все же, вопрос _в какой_ вкладке (или к какому сайту) было обращение,
вызвавшее подгрузку PUA block list сайта/IP адреса = конечно очень важен -
я бы сразу увидел откуда ветер дует, сходу.
15.11.2017 23:29:02, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101089/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101089/ Wed, 15 Nov 2017 23:29:02 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
В uVS есть кнопка: Donate


====quote====
Serge Arsentiev написал:
разветвите
=============

Это уже был выверт подсознания.  
15.11.2017 17:35:12, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101073/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101073/ Wed, 15 Nov 2017 17:35:12 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Спасибо.  

Меня в основным разветвите uVS интересует.
=============
Завис на слове разветвите. Что можно сделать для развития, разветвления?
14.11.2017 22:05:12, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101046/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101046/ Tue, 14 Nov 2017 22:05:12 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо.  

Меня в основным разветвите uVS интересует.
13.11.2017 19:31:37, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101038/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101038/ Mon, 13 Nov 2017 19:31:37 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Система чиста.

Кстати, если интересно есть инструкция к FRST на русском: Здесь.

С вашим уровнем знаний - стоит заняться изучением uVS и FRST  
тем более вам это необходимо по работе.
=============
Спасибо-спасибо, знать бы еще почему обе указанные программы вешались наглухо

Будем надеяться, что проблемы были, но они самоликвидировались.

Благодаю за потраченную уйму времени и серьезную помощь ... что я могу сделать для Вас?
13.11.2017 19:16:30, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101037/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101037/ Mon, 13 Nov 2017 19:16:30 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Система чиста.

Кстати, если интересно есть инструкция к FRST на русском:Здесь.

С вашим уровнем знаний - стоит заняться изучением uVS и FRST   8)
тем более вам это необходимо по работе.
13.11.2017 17:46:47, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101034/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101034/ Mon, 13 Nov 2017 17:46:47 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Расширения к FireFox
можете посмотреть сами - что ставили, что нет.
( дата установки  и производитель там казаны )
см. файл: FRST.txt
=============
Благодарю за ответ.
1. bat - мой
2. Group policy + policies = частично мои (NoDriveAutoRun), но некоторых кусков я не понимаю,
сверюсь на других Windows XP машинах.В Group Policy обтекаемо написано User Restriction
без указания что именно шерстить. Посмотрел внимательно все ссылки на ветки  -это просто
опции Windows Explorer (проверяемые по Google, без внешних ссылок на непонятные программы)
3. В Firefox расширения _все_ из комплекта поставки, кроме одного - которое сейчас неактивно (но его тоже ставил я).


Также, докладываю - уже неделю нет PUA black list срабатываний.
13.11.2017 10:02:30, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101030/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101030/ Mon, 13 Nov 2017 10:02:30 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Расширения к FireFox
можете посмотреть сами - что ставили, что нет.
( дата установки  и производитель там указаны )
см. файл: FRST.txt

FireFox:
========
11.11.2017 23:59:40, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101024/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101024/ Sat, 11 Nov 2017 23:59:40 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
.bat файлы вы используете.
GroupPolicy - сами меняли - ?
11.11.2017 23:43:07, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101023/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101023/ Sat, 11 Nov 2017 23:43:07 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Можно посмотреть код страницы.
Можно сохранить страницу целиком ( предварительно отключив антивирус )
и после её сохранения изучить.
Можно проверить все ссылки на странице. ( и понять на какую ругается антивирус )
-----------

Мы уже вдарились в _теоретические дебри - мало имеющие отношение к реальности.

Я бы всё таки посмотрел: FRST:  http://forum.esetnod32.ru/forum9/topic2798/
=============
1/ Все вышеперечисленное по страницам делал, ничего не нашел.

2/ FRST два раза уверенно вис - после чего я перезапускал его
в безопасном режиме (но он вис и там), после чего я запускал scandisk
с проверкой поверхности диска - но ничего не нашел.

Виснет также как прежняя тулза - после окончания работы. Видимо Windows XP его не радует.

Отчет вот http://www.laverock.ru/files/ds.zip
11.11.2017 23:16:22, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101021/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101021/ Sat, 11 Nov 2017 23:16:22 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
После всего выше написанного я тоже сомневаюсь, что проблема в роутере.

====quote====
Serge Arsentiev написал:
_как_ определить в какой вкладке браузера Firefox
Eset Nod 32 антивирус _нашел_ и _предотвратил_ PUA blocked обращение?
=============

Едва ли это возможно...
Антивирус проверяет трафик...

Можно посмотреть код страницы.
Можно сохранить страницу целиком ( предварительно отключив антивирус )
и после её сохранения изучить.
Можно проверить все ссылки на странице. ( и понять на какую ругается антивирус )
-----------

Мы уже вдарились в _теоретические дебри - мало имеющие отношение к реальности.

Я бы всё таки посмотрел: FRST: http://forum.esetnod32.ru/forum9/topic2798/
10.11.2017 15:58:11, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101002/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101002/ Fri, 10 Nov 2017 15:58:11 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
+
7) Это может быть ложное срабатывание антивируса.
Обновился компонент\модуль антивируса - проблема исчезла\появилась.
Просто реакция на ссылку из кэша браузера\другой программы.
в том числе и ложная реакция.
и т.д.
В общем  
=============
Ну если только на кэш, во всех смыслах
А если серьезно - кэш браузера у меня очищается при выходе (полностью).

Либо роутер (сомневаюсь), либо вредная ссылка в веб-версии Скайпа.

Понаблюдаю тогда еще месяц.

Последний пока вопрос - _как_ определить в какой вкладке браузера Firefox
Eset Nod 32 антивирус _нашел_ и _предотвратил_ PUA blocked обращение?
10.11.2017 15:41:37, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101001/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101001/ Fri, 10 Nov 2017 15:41:37 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
1) По поводу роутера - то, что я говорил, это не утверждение, а гипотеза.
так-как один роутер = две проблемные системы ( на практике такие случаи часто встречаются )

2) Системы чисты.

3) {searchTerms} здесь нужно смотреть какие поисковые системы легальные\не легальные встроены в браузер.
Вплоть до модификации поисковых систем.

4) Вирус\Adware может существовать _только, как часть реестра...
Любое восстановление реестра\системы из копии\архива... _может привести к повторному заражению.

5) Антивирусные программы - не видят всего, а только то, что видят.

6) Это может быть руткит....

Всё это гадание на кофейной гуще.
Выяснить проблема связана с оборудованием, или нет = смена оборудования ( временная )

По поводу уязвимостей роутеров.
Как известно куча инструментов утекла от спецслужб...
 https://www.iguides.ru/main/security/tsru_bolshe_10_let_vzlamyvaet_routery_apple­ ­_i_drugikh_proizvoditeley/  

Ещё.
=============
Благодарю за ответ

1. Надо смотреть - будем смотреть. Пока-то ничего насмотреть не удается.
Посмотрим Вашу ссылку, почитаем.
Наверное, может человек со сканером, если захочет, подключиться к WIFi, сняв пароль из пакетов,
может (навеное) снять MAC адрес редко используемого устройства и поставить его себе ...
может работать в Интернет через роутер - но чтобы вносить изменения в другие подключенные
к роутеру устройства (ПК Windows) - потребуется
наличие уязвимостей уже и у них и отсутствие админского пароля на шары (а пароль конечно есть).
Также, на момент PUA срабатывания - на роутере я не вижу никаких подключенных устройств,
кроме физически включенных и работающих.

2. Ок.

3. Системы поисковые - легальные (точнее, легитимные) - о чем была переписка чуть раньше.
И delref инструкция тоже убивает только легальные SearchScopes, что и удивило безмерно

4. Так нету в реестре Adware, при всем уважении ... Не нашлось.
Из копии/архива реестр не восстанавливаю - не считаю это правильным,
но контольные точки на всякий случай держу.

5.Это ясно

6. Может и РутКит. Но какой-то удивительно молчаливый и спокойный. Причем Dr. Web Cure It
его не видит. И работает РутКит 1-2 раза в неделю - довольно ленивый ...

Можно конечно сделать загрузочную Flash с Dr. Web (или аналогичным средством Nod, если оно существует)  ...
Но я подозреваю, что для этого нужны более веские основания, и РутКит как-то бы себя проявил
более ярко за все эти годы ...
10.11.2017 15:37:07, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message101000/ http://forum.esetnod32.ru/messages/forum6/topic14283/message101000/ Fri, 10 Nov 2017 15:37:07 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
+

7) Это может быть ложное срабатывание антивируса.
Обновился компонент\модуль антивируса - проблема исчезла\появилась.

8) Просто реакция на ссылку из кэша браузера\другой программы.
в том числе и ложная реакция.

и т.д.
В общем  
09.11.2017 21:49:18, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100989/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100989/ Thu, 09 Nov 2017 21:49:18 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) По поводу роутера - то, что я говорил, это не утверждение, а гипотеза.
так-как один роутер = две проблемные системы ( на практике такие случаи часто встречаются )

2) Системы чисты.

3) {searchTerms} здесь нужно смотреть какие поисковые системы легальные\не легальные встроены в браузер.
Вплоть до модификации поисковых систем.

4) Вирус\Adware может существовать _только, как часть реестра...
Любое восстановление реестра\системы из копии\архива... _может привести к повторному заражению.

5) Антивирусные программы - не видят всего, а только то, что видят.

6) Это может быть руткит....

Всё это гадание на кофейной гуще.
Выяснить проблема связана с оборудованием, или нет = смена оборудования ( временная )

По поводу уязвимостей роутеров.
Как известно куча инструментов утекла от спецслужб...
https://www.iguides.ru/main/security/tsru_bolshe_10_let_vzlamyvaet_routery_apple­_i_drugikh_proizvoditeley/

Ещё.
09.11.2017 21:08:48, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100988/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100988/ Thu, 09 Nov 2017 21:08:48 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Если проблема в провайдере то проще всего поставить:
adblockplus:  https://adblockplus.org/ru/
и
noscript:  https://noscript.net/
--------

====quote====
 Serge Arsentiev  написал:
изучил вопрос с {searchTerms}
=============
https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx
=============
Спасибо за помощь, вот план действий - и по роутеру прошу больше информации ---

Cперва напишу провайдеру. Пока (1 сутки), сообщений от Eset больше нет
по DataDriven больше нет - возможно помогло продление второй лицензии (шучу).

Либо, уехала история в веб Скайпе и Nod перестал замечать вредный URL в истории
и соотв. ругаться на него. В веб Скайпе по всем контактам подгружается история -
включая картинки или контент при упоминании URL, чем стараются пользоваться хакеры,
взламывая скайп экаунта и засылая goo.gl короткие ссылки с вирусами, а Гугл это игнорит.

По реестру и delref = в приведенной Вами заметке на MSDN также
используется {searchTerms} и нет указаний о том что это плохо.

Вот если бы в SearchScopr была активная запись search provider = MegaEvilHacker
= тогда да,тогда бы я удалил все это, но от Bing / Google / Yandex с выбранным
по дефолту Google я вред углядеть решительно не в состоянии, извините.

Тут такая штука - на двух рабочих станциях, на которых проявляются симптомы,
стоял Nod32 лицензия, с самого начала, плюс периодическая проверка ADW Cleaner + Dr. Web Cure It.
Я очень сомневаюсь что что-то могло пробиться - и специально - скорей-скорей -
ставил update относительно "спящих" вирусов-шифраторов, и вроде все встало как надо. Тьфу-тьфу.

Из "странного" софта ставился BsPlayer, который тащил за собой Conduit WebSearch (очень давно) -
но эта штука прибивалась сразу после установки ... позднее - в 2016 году, это был уже некий
LavaSoft TcpWebserive = к сожалению все это в пакете установщика, то есть оставалось
только установить и потом прибить.

Но чтобы "следы" (хвосты) удаленных более 1.5 лет назад в Windows 7
или более 10 лет назад в Win XP софтинок, вдруг стали влиять на поведение браузеров сейчас
- тут, извините, поверить не могу. Я и следов-то этих не вижу, кроме того что App Path bsplayer.exe
живет в ветке реестра Conduit (а другие под-ветки этого дерева давно прибиты как и сам Conduit,
еще до его первого запуска и активации, еще 10 лет назад).

Мы достаточно авторитетно с Вами исследовали вопрос возможного заражения, и ничего не нашли.

Остается роутер DIR 300 старого образца (еще до NRU и прочих новоделов)
по которому Вы упорно, 5-й раз спрашиваю ведь, не хотите называть
• ни наименование возможной уязвимости
• ни конкретно видимые результаты взлома роутера
- повторяю, все настройки на месте и включена MAС фильтрация подключенных станций.
Да, это тоже взламывается, особенно учитывая недавнюю публикацию про взлом WiFi клиентов
даже с AES шифрацией. Но эти-то клиенты у меня на проводах RJ 45 ...

Как проверить уязвимость роутера? Как она должна проявляться в настройках или логе роутера?
Вот не знаю что у Вас срабатывает, но этот вопрос Вы игнорируете

За роутером остается провайдер Interzet (Дом.Ру теперь, но настройки все старые).
Они могут что-то портить, скорость доступа замедлилась, как это принято, сразу
после перехода на тариф со скоростью побольше и такой и осталась
09.11.2017 20:45:50, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100987/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100987/ Thu, 09 Nov 2017 20:45:50 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если проблема в провайдере то проще всего поставить:
adblockplus: https://adblockplus.org/ru/
и
noscript: https://noscript.net/
--------



====quote====
Serge Arsentiev написал:
изучил вопрос с {searchTerms}
=============
https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx
09.11.2017 13:40:41, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100974/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100974/ Thu, 09 Nov 2017 13:40:41 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Можно зайти сюда и посмотреть текущий IP машин:  https://yandex.ru/internet/
Если трафик идёт через прокси...
То будут соединённые штаны америки - или ещё, что.
=============
На таком уровне - показывает мой IP (внешний).
Просто есть же разного типа прокси, в том числе транспарентные (прозрачные).

Вы знаете, я изучил вопрос с {searchTerms} - посмотрел по TeamViewer другие машины
на Windows 7 и Windows XP: там тоже есть аналогичные записи в реестре -
как в HKLM, так и в HKCU: не все подряд, но некоторые точное такие же
и везде (везде) есть {searchTerms} в коде.

В конце недели наберусь смелости запускать Far сканнер (на случай чего).

Спасибо за помощь!
09.11.2017 05:49:45, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100965/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100965/ Thu, 09 Nov 2017 05:49:45 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Можно зайти сюда и посмотреть текущий IP машин: https://yandex.ru/internet/
Если трафик идёт через прокси...
То будут соединённые штаны америки - или ещё, что.
08.11.2017 17:27:24, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100959/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100959/ Wed, 08 Nov 2017 17:27:24 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
В таких случаях рекомендуется перекрёстная проверка.
Идеальных программ нет.
Возможно то чего не видит uVS можно увидеть в FRST

====quote====
 Serge Arsentiev  написал:
делать после ... или
=============
Лучше после.

=============
Ок, тогда ночью уже видимо, спасибо за помощь.
У меня подозрения все же в сторону провайдера -
провайдер Интерзет был засвечен lleo (Леонид Каганов)
среди других, которые пропускали траффик пользователей
через маркетинговый прокси ... чтобы еще немного зарабатывать.
Ссылку нашел - вот она

Я подозреваю что их система разладилась слегка, а Eset Nod 32 это диагностирует.
08.11.2017 17:12:29, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100958/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100958/ Wed, 08 Nov 2017 17:12:29 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
В таких случаях рекомендуется перекрёстная проверка.
Идеальных программ нет.
Возможно то чего не видит uVS можно увидеть в FRST


====quote====
Serge Arsentiev написал:
делать после ... или
=============

Лучше после.
08.11.2017 17:06:20, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100957/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100957/ Wed, 08 Nov 2017 17:06:20 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Выполните FRST:  http://forum.esetnod32.ru/forum9/topic2798/
( по сути это расширенный аналог  HiJack )
Напишу в нём скрипт очистки.
=============
Прошу прощения, а это делать после ... или вместо предыдущей отработки delref?
Сейчас перезагрузил компьютер, вошел в Firefox - "левых" обращений пока нет.

Пробую грузить скайп. Загрузил, все тихо
У меня все больше подозрения в сторону провайдера ..
08.11.2017 16:31:43, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100956/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100956/ Wed, 08 Nov 2017 16:31:43 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
( по сути это расширенный аналог  HiJack )
Напишу в нём скрипт очистки.
08.11.2017 15:09:44, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100955/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100955/ Wed, 08 Nov 2017 15:09:44 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Можно и HiJack воспользоваться для удаления записей.
08.11.2017 14:51:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100953/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100953/ Wed, 08 Nov 2017 14:51:33 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
{SEARCHTERMS}
=============
Ок, а на чистой системе что в этих местах реестра?
Нет этих записей (ветвей) или есть, но с другими значениям?
Может быть, я просто исправлю эти места в реестре, руками?

Вот тут пишут что https://malwarefixes.com/remove-searchscopes/
"SearchScopes extension is an adware that infiltrate the  computer by means of third-party program. This kind of software was  made to generate revenue for its authors. SearchScopes is offered as a  useful tool with enhancement functions for your web browser. "

А у меня нет этого Add-on ... но записи в реестре есть .. хм, _непонятно_

P.S. Да, я не знаю как работает UVS, возможно это аналог HiJack, etc.
P.P.S. На Windowx XP машине UVS подвис, поэтому тяготею к ручным исправлениям.
08.11.2017 14:29:21, Serge Arsentiev.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100952/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100952/ Wed, 08 Nov 2017 14:29:21 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Больше лишнего в системах не вижу.
08.11.2017 14:25:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100950/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100950/ Wed, 08 Nov 2017 14:25:33 +0300 Обнаружение вредоносного кода и ложные срабатывания PUA black list - как определить вкладку(сайт) подгружающий контент из black listed сайта? PUA list срабатывания - как понять с какого из сайтов они происходят? в форуме Обнаружение вредоносного кода и ложные срабатывания.
В каталоге с программой uVS есть файл с документацией. ( Doc )
Команда: DELREF
Удалит все ссылки на объект. ( в реестре )
---------
По работе с uVS можно пройти обучение: здесь


====quote====
Serge Arsentiev написал:
но среди них ведь нет "левых"
=============

Если не считать, что везде прописано: ={SEARCHTERMS}  
08.11.2017 14:20:14, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14283/message100949/ http://forum.esetnod32.ru/messages/forum6/topic14283/message100949/ Wed, 08 Nov 2017 14:20:14 +0300 Обнаружение вредоносного кода и ложные срабатывания