исполнение неавторизованного кода заблокировано dr web как отключить
Исполенение неавторизованного кода
День добрый. Проблема такая: при запуске любого из браузеров на компьютере агент dr.web 11 выдает сообщение: Блокировать исполнение неавторизованного кода?
При этом если нажать на «Разрешить», то браузер спокойно работает, если же «Заблокировать», то браузер закрывается. Внешне на работу это никак не проявляется: нет никакой адской загрузки, нет, вроде как, никаких сторонних скрытых процессов, в хостах ничего не прописано, но ведь что-то же запускается, но понять что. никак не могу выловить. Проверки ничего не выявляют, все ровно. В файлах прикрепляю логи агента dr.web 11, cure it, SySInfo и Хайджека, а так же отчет о событиях агента.
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Заблокировано исполнение неавторизованного кода (Превентивная защита)
Заблокировано исполнение неавторизованного кода
PID: 5812
Процесс: C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
Причина: Попытка выполнения кода из неисполняемой памяти
Прикрепленные файлы:
1. Перевести защиту от эксплойтов в режим спрашивать.
2. Снять дамп с процесса winword.exex после появления сообщения (не закрывая при этом само сообщение).
Прикрепить дамп к сообщению или загрузить в облако, расшарить и ссылку указать.
дамп winword 130mb, выложить здесь не дает ограничение на вложение, PID процесс 2584, выкладываю на обменник:
дамп winword 130mb, выложить здесь не дает ограничение на вложение, PID процесс 2584, выкладываю на обменник:
К сожалению, данный ресурс занесён в наши базы как источник распространения вирусов. Вы могли бы выложить дамп на Яндекс Диск или Google Drive?
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
Классное решение. но оно как-то не подходит.
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
Классное решение. но оно как-то не подходит.
Вы уже проверили, без ABBYY PDF Transformer проблема не воспроизводится?
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
Классное решение. но оно как-то не подходит.
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
использование неавторизованного кода заблокировано
Win7-64, MICROSOFT OFFICE ENTERPRISE 2007 SP1 RUS, Dr.Web Security Space11
Прикрепленные файлы:
MICROSOFT OFFICE ENTERPRISE 2007 SP1
Прикрепленные файлы:
Обновил офис до SP3 результат нулевой
А это у вас при запуске офиса или при открытии документов?
Пробовал отключить компоненты доктора, результат нулевой
Судя по типу детекта, какой то сторонний плагин или модуль
А как определить какой это модуль, изловить его.
Пробовал отключить компоненты доктора, результат нулевой
Чтоб отключить, нужно в настройках превентивной защиты разрешить исполнение неавторизованного кода. Если вы уверены, что у вас в Офисе не завелся какой нить зверек.
А как определить какой это модуль, изловить его.
По идее, когда появляется сообщение от Доктора, в нем указан PID процесса, можно попробовать глянуть в диспечере что это за зверь такой.
Судя по типу детекта, какой то сторонний плагин или модуль
С сайтом проблемы были или у меня я так и не понял, 3 дня не мог зайти. Новый дамп я уже не смогу сделать потому как честно плюнул и снес 2007 офис и поставил 2010, пока без активации, работать то надо край. С данным документом проблем больше не возникало, единственное заметил в некоторых местах вместо слов либо квадратики либо знаки вопроса местами даже половины слова нет, а половина есть. Ну да ладно, решил радикальным способом офис не винда.
А может там все же макровирь? Раз квадратики и все такое
Исполнение неавторизированного кода заблокировано
Пользуюсь DrWeb 11. Уже 2-й год он мучает меня зависанием или закрытием программ при использовании горячих клавиш с применением клавиши Cltr. Сначала это происходило только с браузерами Google и Яндекс. При этом я не мог понять. что за напасть такая, после переустановки Windows 7 без инсталляции DrWeb проблема пропала; после установки антивируса стали появляться всплывающие на несколько секунд окошки, одно из них я успел сохранить.
Попытка скопировать/вставить текст приводила к зависанию браузеров. Научился пользоваться только мышью.
Теперь это происходит с Acrobat и MS Office 2007. Не представляете, как это бесит. когда в процессе написания статью программа закрывается!
Прилагаю одно из сообщений антивируса.
Прикрепленные файлы:
Keep yourself alive
AlGur, вы бы лучше штатный отчёт приложили.
С указанием точного времени, когда наблюдалась проблема.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Пользуюсь DrWeb 11. Уже 2-й год он мучает меня зависанием или закрытием программ при использовании горячих клавиш с применением клавиши Cltr. Сначала это происходило только с браузерами Google и Яндекс. При этом я не мог понять. что за напасть такая, после переустановки Windows 7 без инсталляции DrWeb проблема пропала; после установки антивируса стали появляться всплывающие на несколько секунд окошки, одно из них я успел сохранить.
Попытка скопировать/вставить текст приводила к зависанию браузеров. Научился пользоваться только мышью.
Теперь это происходит с Acrobat и MS Office 2007. Не представляете, как это бесит. когда в процессе написания статью программа закрывается!
Прилагаю одно из сообщений антивируса.
Dr.Web 11 & MS Office (использование неавторизованного кода заблокировано)
Посоветуйте, что делать?
Прикрепленные файлы:
Dmitriy-spb, нам нужен дамп с процесса, на котором происходит срабатывание.
Как это сделать написано вот тут:
Вот поймал один PID.
Сори, не разобрался как прикреплять в ответе файлы.
Вот ссылка на ЯндексДиск, там и скрин и дамп-файл https://yadi.sk/d/Z-sD_Ou93ApjP9
проблема в старом модуле винды
740f0000 740fd000 NetworkItemFactory (pdb symbols) d:\symbols\msdl\NetworkItemFactory.pdb\6D0F78F2FB054F05BBC2433592B7F6291\NetworkItemFactory.pdb
Loaded symbol image file: NetworkItemFactory.dll
Image path: C:\Windows\System32\NetworkItemFactory.dll
Image name: NetworkItemFactory.dll
Browse all global symbols functions data
Timestamp: Tue Jul 14 02:53:17 2009 (4A5BC8ED)
CheckSum: 0000DEF0
ImageSize: 0000D000
File version: 6.1.7600.16385
Product version: 6.1.7600.16385
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 2.0 Dll
File date: 00000000.00000000
Translations: 0409.04b0
CompanyName: Microsoft Corporation
ProductName: Microsoft® Windows® Operating System
InternalName: NetworkItemFactory
OriginalFilename: NetworkItemFactory.DLL
ProductVersion: 6.1.7600.16385
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
FileDescription: NetworkItem Factory
LegalCopyright: © Microsoft Corporation. All rights reserved.
Keep yourself alive
Dmitriy-spb, систему обновляете?
Обновление стояло на автомате. так что думал, что ДА, а оказалось, что нет.
При запаске скаченных обновлений по ссылке от Konstantin Yudin, проходит распаковка и при сообщении «Поиск обновлений на этом компьютере» происходит завис. Вернее все работает, только вот с обновлением ничего не происходит.
При попытке Обновится через Центр обновления Windows тож ничего не происходит.
Пробовал под другим пользователем (администратором) эффект тот же.
Куда лезть и что смотреть, что б обновится?
это вам сюда > answers.microsoft.com
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Keep yourself alive
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
При запаске скаченных обновлений по ссылке от Konstantin Yudin, проходит распаковка и при сообщении «Поиск обновлений на этом компьютере» происходит завис. Вернее все работает, только вот с обновлением ничего не происходит
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
windows6.1-kb3172605 должно быть достаточно..
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
подтверждаю слова maxic, правда с оговоркой, что достаточно накатить июльский роллап..
Keep yourself alive
DoggoD, в некоторых случаях windows6.1-kb3172605 не ставился без Windows6.1-KB3020369. Поэтому парой и держу.
При запаске скаченных обновлений по ссылке от Konstantin Yudin, проходит распаковка и при сообщении «Поиск обновлений на этом компьютере» происходит завис. Вернее все работает, только вот с обновлением ничего не происходит
Спасибо! Сработало! После отключения кабеля обновления по ссылкам Konstantin Yudin встали нормально.
В течении вчерашнего дня проблема с Оффисом не воспроизводилась!
По отсутствию автообновления Винды еще копался.