Содержимое сайта заблокировано

Andrew Pol · 4 Янв 2013

Содержимое сайта заблокировано

Доброго времени суток. Проблема вот какая (она уже было утут описана, но в правилах попросили создавать новую тему, да и решения в той не было) доступ к некоторым сайтам, ко многим сайтам на обоих браузерах, что я использую, преграждает табличка "содержимое сайта заблокировано". До этого была проблема такого характера: ни с того ни с сего выскакивал сайт с ГИБДД, потом с какими-то непристйными ресурсами; теперь, по всей видимости, трансформировалось вот в это.
Спасибо.

AlexZir · 4 Янв 2013

Запустите AVZ и выполните этот скрипт:

begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\program files (x86)\norton internet security\engine\18.7.2.3\ccsvchst.exe');
BC_DeleteFile('C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20110812.001\BHDrvx64.sys');
BC_DeleteSvc('BHDrvx64');
BC_DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\095637~1.EXE');
BC_DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh');
BC_DeleteFile('copy C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh C:\Windows\system32\drivers\etc\hosts');
BC_DeleteFile('c:\program files (x86)\norton internet security\engine\18.7.2.3\ccsvchst.exe');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.

Потом после перезагрузки компьютера выполните стандартный скрипт №3, полученный лог прикрепите к следующему сообщению.

Andrew Pol · 4 Янв 2013

На время выполенния данного скрипта выключать инет и антивирь?

safety · 4 Янв 2013

антивир можно отключить, инет - необязательно в данном случае.

+
эти строки можно убрать из скрипта. (Win7 все таки, возможен BSOD)

SetAVZGuardStatus(True);
SetAVZPMStatus(True);
SearchRootkit(true, true);

+
сделайте образ автозапуска в uVS по данном инструкции
http://www.tehnari.ru/f150/t81269/

Andrew Pol · 4 Янв 2013

uVS не крепится а ссылки публиковать нельзя до 20 сообщений

Andrew Pol · 4 Янв 2013

ССЫЛКА УДАЛЕНА

safety · 4 Янв 2013

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\039187~1.EXE
delall %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\095637~1.EXE
delref COPY
setdns Беспроводное сетевое соединение 2\4\{1F3B2BEE-DB38-44EF-8B7A-F83A799150C5}\
setdns Беспроводное сетевое соединение 3\4\{7695A648-7E0C-4FC2-B3F7-880EAD064BCC}\
setdns Подключение по локальной сети 2\4\{DB0504B7-3727-4812-A74E-6C3893532BCB}\
setdns Подключение по локальной сети\4\{23CFFF5F-8C48-41C6-8005-DCB428B56160}\
hide %SystemRoot%\SYSWOW64\EXPLORER.EXE
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
uidel "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
REGT 12
REGT 14
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
----------

здесь, тот случай, когда помимо подмены hosts через cmd в строке автозапуска, добавлена еще и задачка содержащая подобную подмену hosts
---------------

Полное имя COPY
Имя файла COPY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
_COPY* (ПОЛНОЕ ИМЯ ~ COPY)(1) AND ( ~ CMD.EXE /C COPY)(1)
_COPY** ( ~ CMD.EXE /C COPY)(1)
VOLTAR.1 (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS** ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" /c copy C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\3246958
3246958 cmd.exe /c copy C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

Andrew Pol · 4 Янв 2013

Вроде чудо-надпись больше не беспокоит. Спасибо большое.

safety · 4 Янв 2013

+
ко всему прочему и левый DNS был прописан

5.199.140.180

хорошо,
выполните еще быструю проверку в малваребайт для контроля
http://www.tehnari.ru/f150/t81927/

добавил образ автозапуска ТС для анализа проблемы, для практики работы с uVS // просьба к администраторам - разрешить добавление во вложение темы архивов в формате 7z //

Andrew Pol · 5 Янв 2013

Сделал проверку в Malwarebytes - ничего не показал. Еще раз спасибо.

safety · 5 Янв 2013

+ закрываем основные уязвимости в системе и приложениях
-----------
Выполните скрипт в AVZ при наличии доступа в интернет:
--------

Код:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile(GetAVZDirectory  + 'log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Содержимое сайта заблокировано

Andrew Pol

Ученик

Вложения

AlexZir

support

Andrew Pol

Ученик

safety

Ученик

Andrew Pol

Ученик

Вложения

Andrew Pol

Ученик

safety

Ученик

Andrew Pol

Ученик

safety

Ученик

Вложения

Andrew Pol

Ученик

safety

Ученик

Похожие темы