Содержимое сайта заблокировано

Andrew Pol · 04.01.2013, 20:08

Доброго времени суток. Проблема вот какая (она уже было утут описана, но в правилах попросили создавать новую тему, да и решения в той не было) доступ к некоторым сайтам, ко многим сайтам на обоих браузерах, что я использую, преграждает табличка "содержимое сайта заблокировано". До этого была проблема такого характера: ни с того ни с сего выскакивал сайт с ГИБДД, потом с какими-то непристйными ресурсами; теперь, по всей видимости, трансформировалось вот в это.
Спасибо.

AlexZir · 04.01.2013, 20:49

Запустите AVZ и выполните этот скрипт:

Цитата:

begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\program files (x86)\norton internet security\engine\18.7.2.3\ccsvchst.exe');
BC_DeleteFile('C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\2 0110812.001\BHDrvx64.sys');
BC_DeleteSvc('BHDrvx64');
BC_DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\ 095637~1.EXE');
BC_DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\ 3246880FdOh');
BC_DeleteFile('copy C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh C:\Windows\system32\drivers\etc\hosts');
BC_DeleteFile('c:\program files (x86)\norton internet security\engine\18.7.2.3\ccsvchst.exe');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.

Потом после перезагрузки компьютера выполните стандартный скрипт №3, полученный лог прикрепите к следующему сообщению.

Andrew Pol · 04.01.2013, 22:02

На время выполенния данного скрипта выключать инет и антивирь?

safety · 04.01.2013, 22:16

антивир можно отключить, инет - необязательно в данном случае.

+
эти строки можно убрать из скрипта. (Win7 все таки, возможен BSOD)

Цитата:

SetAVZGuardStatus(True);
SetAVZPMStatus(True);
SearchRootkit(true, true);

+
сделайте образ автозапуска в uVS по данном инструкции
http://www.tehnari.ru/f150/t81269/

Andrew Pol · 05.01.2013, 00:06

uVS не крепится а ссылки публиковать нельзя до 20 сообщений

Andrew Pol · 05.01.2013, 00:07

ССЫЛКА УДАЛЕНА

safety · 05.01.2013, 00:16

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\039187~1.EXE
delall %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\095637~1.EXE
delref COPY
setdns Беспроводное сетевое соединение 2\4\{1F3B2BEE-DB38-44EF-8B7A-F83A799150C5}\
setdns Беспроводное сетевое соединение 3\4\{7695A648-7E0C-4FC2-B3F7-880EAD064BCC}\
setdns Подключение по локальной сети 2\4\{DB0504B7-3727-4812-A74E-6C3893532BCB}\
setdns Подключение по локальной сети\4\{23CFFF5F-8C48-41C6-8005-DCB428B56160}\
hide %SystemRoot%\SYSWOW64\EXPLORER.EXE
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
uidel "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
REGT 12
REGT 14
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
----------

здесь, тот случай, когда помимо подмены hosts через cmd в строке автозапуска, добавлена еще и задачка содержащая подобную подмену hosts
---------------

Цитата:

Полное имя COPY
Имя файла COPY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
_COPY* (ПОЛНОЕ ИМЯ ~ COPY)(1) AND ( ~ CMD.EXE /C COPY)(1)
_COPY** ( ~ CMD.EXE /C COPY)(1)
VOLTAR.1 (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS** ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" /c copy C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\Curren tVersion\Run\3246958
3246958 cmd.exe /c copy C:\Users\A4F7~1\AppData\Local\Temp\3246880FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

Andrew Pol · 05.01.2013, 00:38

Вроде чудо-надпись больше не беспокоит. Спасибо большое.

safety · 05.01.2013, 00:39

+
ко всему прочему и левый DNS был прописан

Цитата:

5.199.140.180

хорошо,
выполните еще быструю проверку в малваребайт для контроля
http://www.tehnari.ru/f150/t81927/

добавил образ автозапуска ТС для анализа проблемы, для практики работы с uVS // просьба к администраторам - разрешить добавление во вложение темы архивов в формате 7z //

Andrew Pol · 05.01.2013, 17:43

Сделал проверку в Malwarebytes - ничего не показал. Еще раз спасибо.

04.01.2013, 20:08
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Эти топики должны помочь вам решить проблему "Содержимое сайта заблокировано" Привод NEC не видит содержимое DVD-R Как можно вытащить содержимое из мертвого SATA - WD3000JS?

04.01.2013, 22:02	#3 (permalink)
Andrew Pol Новичок Регистрация: 04.01.2013 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	На время выполенния данного скрипта выключать инет и антивирь?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

05.01.2013, 00:07	#6 (permalink)
Andrew Pol Новичок Регистрация: 04.01.2013 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	ССЫЛКА УДАЛЕНА

05.01.2013, 00:38	#8 (permalink)
Andrew Pol Новичок Регистрация: 04.01.2013 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Вроде чудо-надпись больше не беспокоит. Спасибо большое.

05.01.2013, 17:43	#10 (permalink)
Andrew Pol Новичок Регистрация: 04.01.2013 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Сделал проверку в Malwarebytes - ничего не показал. Еще раз спасибо.