NOD 32 выдает, что адрес заблокирован

NOD 32 выдает, что адрес заблокирован. Причем не часто. Может один раз в неделю. Адрес один и тот же. Заметил что чаше вылазе если запущен Клиент-Сбербанк. Но какой то закономерности не заметил.

Уважаемый(ая) [B]KosmosMars[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Проверьтесь [url]http://support.kaspersky.ru/viruses/disinfection/9208[/url]

Спасибо. проверил. Пишет 0 угроз.

Каким браузером пользуетесь при возникновении проблемы?

[QUOTE=thyrex;1217718]Каким браузером пользуетесь при возникновении проблемы?[/QUOTE]
У меня обычно запущено два: mozilla и exploler. Вот какой вызывает это сообщение не знаю. надо понаблюдать значит? Последние два дня этой проблемы не возникало.

В логах тоже ничего плохого.

Пока тему не закрываем. Наблюдайте

Вчера вылезло опять сообщение. Mozila запущена была.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Сделал

Какой адрес блокирует?

larnasa.com/tmp/filter2.roo

По логам не видно сейчас никаких настроек прокси-сервера в логах Firefox

[QUOTE=thyrex;1220699]По логам не видно сейчас никаких настроек прокси-сервера в логах Firefox[/QUOTE]
Сегодня опять вылезло. Была запущена мозила и Клиент-Сбербанк. Хз откуда лезет

Попробуйте переустановить браузер

Переустановил. Сегодня это бяка была вылезла когда был запущен только Клиент-Сбербанк.

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

Сделал

[QUOTE]HTTPS:\\PWS.RN-CARD.RU\PWS_SAMARA\ACCOUNTS.DO
[/QUOTE]
Это ваша надстройка?

Сделайте лог uVS из безопасного режима.

[QUOTE=mike 1;1224124]Это ваша надстройка?

Сделайте лог uVS из безопасного режима.[/QUOTE]

Да. Моя.

Не получается из безопасного. Монитор не поддерживает что ли. Черный экран когда переходишь в безопасный режим.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]

[code]
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
breg

regt 21
restart
[/code]

Компьютер перезагрузится. Попробуйте сделать лог из безопасного режима.

[QUOTE=mike 1;1224183][url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]

[code]
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
breg

regt 21
restart
[/code]

Компьютер перезагрузится. Попробуйте сделать лог из безопасного режима.[/QUOTE]

:( Когда заходишь в безопасный режим появляется надпись на мониторе Input Nod Supported.

А в безопасном режиме командной строки грузится?

[QUOTE=mike 1;1224986]А в безопасном режиме командной строки грузится?[/QUOTE]
Жму F8 при загрузке. Появляется варианты загрузки. Жму безопасный режим-появляется надпись на мониторе Input Nod Supported. Как то так :(

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Сделал

Удалите в Хроме расширение SuperMegaBest.com.

Выполните скрипт в AVZ:[CODE]Function Get_FF_ProfilePath() : String;

begin
Result := GetEnvironmentVariable('Appdata') +
'\Mozilla\Firefox\' + INIStrParamRead(GetEnvironmentVariable('Appdata') +
'\Mozilla\Firefox\profiles.ini', 'Profile0', 'Path', '');
exit;
end;

var
FF_Profile : String;

begin
ClearQuarantine;
FF_Profile := Get_FF_ProfilePath;
QuarantineFile(FF_Profile + '\prefs.js', '');
QuarantineFile(FF_Profile + '\preferences\prefcalls.js', '');
QuarantineFile(FF_Profile + '\preferences\winpref.js', '');
QuarantineFile(FF_Profile + '\preferences\greprefs.js', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

отправил

Посмотрите по журналу антивируса, когда последний раз блокировка адреса larnasa.com/tmp/filter2.roo была?
Под банк-клиентом имеется ввиду онлайн клиент, работающий из браузера, или программа АРМ «Клиент-Сбербанк»?

Последний раз 06.02.2015г в 8:59:22

Именно АРМ «Клиент-Сбербанк»? Который работает через модем

Опаньки... Это серьёзно может быть. Банк не предупреждал о странных переводах?

Завтра посмотрю, где в его настройках, или в VipNet Client может быть прокси прописан.

[QUOTE=Vvvyg;1227394]Опаньки... Это серьёзно может быть. Банк не предупреждал о странных переводах?

Завтра посмотрю, где в его настройках, или в VipNet Client может быть прокси прописан.[/QUOTE]

нет. Вроде платежи каждый день. проблем нет. пока :(

Скачайте утилиту [URL="https://yadi.sk/d/HeoPGwfQZEaMW"]MiniToolBox[/URL] и сохраните на рабочем столе.

Запустите [U]при подключённом модемном соединении[/U], отметьте следующие пункты:

[LIST][*]Список настроек прокси Internet Explorer[*]Список настроек прокси Firefox[*]Список из файла Hosts[*]Список настроек IP[*]Список настроек Winsock[*]Список последних 10 записей журнала событий[*]Список установленных программ[*]Только проблемных[*]Список юзеров, разделов и размера памяти[*]Список дампа памяти[*]список точек восстановления[/LIST]

и нажмите Старт.

После завершения сбора информации откроется отчет [b]Result.txt[/b], прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

Сделал

Соврал, не VipNet, а AmiCon с клиентом Сбербанка идёт. Там в настройках сети можно socks прокси настроить, ничего там нет?

[QUOTE=Vvvyg;1228979]Соврал, не VipNet, а AmiCon с клиентом Сбербанка идёт. Там в настройках сети можно socks прокси настроить, ничего там нет?[/QUOTE]
У нас нет AmiCon на сколько я знаю.

Хм, получается, модемом звоните на пул Сбера напрямую? Сто лет такую схему уже не видел.

Сделайте полный образ автозапуска UVS [URL="https://yadi.sk/d/6A65LkI1WEuqC"]обновлённой версией[/URL], обязательно при запущенном и подключённом АРМ «Клиент-Сбербанк».

[QUOTE=Vvvyg;1228993]Хм, получается, модемом звоните на пул Сбера напрямую? Сто лет такую схему уже не видел.
[/QUOTE]
Да. Так и есть. Цифровые подписи и отправляем напрямую в банк. Схема старая. Лет 10-ть уже так работает фирма.

Смотрите в свойствах телефонного соединения, вкладка "Безопасность" -> "Интерактивная регистрация и сценарий", если галочка "Сценарий" стоит, нажмите "Изменить", в открывшемся сценарии ищите строку, упоминающую [I]proxy[/I], должно быть что-то вроде [B]Set-VpnConnectionProxy[/B]. Приведите эту строку в сообщении.

[QUOTE=Vvvyg;1229417]Смотрите в свойствах телефонного соединения, вкладка "Безопасность" -> "Интерактивная регистрация и сценарий", если галочка "Сценарий" стоит, нажмите "Изменить", в открывшемся сценарии ищите строку, упоминающую [I]proxy[/I], должно быть что-то вроде [B]Set-VpnConnectionProxy[/B]. Приведите эту строку в сообщении.[/QUOTE]
Галочка не стоит. Изменить не активно. Сегодня провел соединение, все нормально. КБ какое то время был открыт. Вот в этот момент опять вылезла сообщение о блокировке. Т.е. сообщение вылезает ни когда соединение активно, а после того как оно произведено и уже закончено.
PS: Когда идет дозвон до банка модемом интернет вырубается. Так что не может во время соединения что то в интернет лезть.