исполнение неавторизированного кода заблокировано доктор веб что это
Исполенение неавторизованного кода
День добрый. Проблема такая: при запуске любого из браузеров на компьютере агент dr.web 11 выдает сообщение: Блокировать исполнение неавторизованного кода?
При этом если нажать на «Разрешить», то браузер спокойно работает, если же «Заблокировать», то браузер закрывается. Внешне на работу это никак не проявляется: нет никакой адской загрузки, нет, вроде как, никаких сторонних скрытых процессов, в хостах ничего не прописано, но ведь что-то же запускается, но понять что. никак не могу выловить. Проверки ничего не выявляют, все ровно. В файлах прикрепляю логи агента dr.web 11, cure it, SySInfo и Хайджека, а так же отчет о событиях агента.
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Dr.Web 11 & MS Office (использование неавторизованного кода заблокировано)
Посоветуйте, что делать?
Прикрепленные файлы:
Dmitriy-spb, нам нужен дамп с процесса, на котором происходит срабатывание.
Как это сделать написано вот тут:
Вот поймал один PID.
Сори, не разобрался как прикреплять в ответе файлы.
Вот ссылка на ЯндексДиск, там и скрин и дамп-файл https://yadi.sk/d/Z-sD_Ou93ApjP9
проблема в старом модуле винды
740f0000 740fd000 NetworkItemFactory (pdb symbols) d:\symbols\msdl\NetworkItemFactory.pdb\6D0F78F2FB054F05BBC2433592B7F6291\NetworkItemFactory.pdb
Loaded symbol image file: NetworkItemFactory.dll
Image path: C:\Windows\System32\NetworkItemFactory.dll
Image name: NetworkItemFactory.dll
Browse all global symbols functions data
Timestamp: Tue Jul 14 02:53:17 2009 (4A5BC8ED)
CheckSum: 0000DEF0
ImageSize: 0000D000
File version: 6.1.7600.16385
Product version: 6.1.7600.16385
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 2.0 Dll
File date: 00000000.00000000
Translations: 0409.04b0
CompanyName: Microsoft Corporation
ProductName: Microsoft® Windows® Operating System
InternalName: NetworkItemFactory
OriginalFilename: NetworkItemFactory.DLL
ProductVersion: 6.1.7600.16385
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
FileDescription: NetworkItem Factory
LegalCopyright: © Microsoft Corporation. All rights reserved.
Keep yourself alive
Dmitriy-spb, систему обновляете?
Обновление стояло на автомате. так что думал, что ДА, а оказалось, что нет.
При запаске скаченных обновлений по ссылке от Konstantin Yudin, проходит распаковка и при сообщении «Поиск обновлений на этом компьютере» происходит завис. Вернее все работает, только вот с обновлением ничего не происходит.
При попытке Обновится через Центр обновления Windows тож ничего не происходит.
Пробовал под другим пользователем (администратором) эффект тот же.
Куда лезть и что смотреть, что б обновится?
это вам сюда > answers.microsoft.com
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Keep yourself alive
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
При запаске скаченных обновлений по ссылке от Konstantin Yudin, проходит распаковка и при сообщении «Поиск обновлений на этом компьютере» происходит завис. Вернее все работает, только вот с обновлением ничего не происходит
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
windows6.1-kb3172605 должно быть достаточно..
Dmitriy-spb, после длительного перерыва поиск обновлений происходит очень долго. Можно ручками поставить обновления, после которых всё придет более или менее в нормальное состояние относительно поиска обнов. Если я верно помню, это Windows6.1-KB3020369 и Windows6.1-KB3172605.
подтверждаю слова maxic, правда с оговоркой, что достаточно накатить июльский роллап..
Keep yourself alive
DoggoD, в некоторых случаях windows6.1-kb3172605 не ставился без Windows6.1-KB3020369. Поэтому парой и держу.
При запаске скаченных обновлений по ссылке от Konstantin Yudin, проходит распаковка и при сообщении «Поиск обновлений на этом компьютере» происходит завис. Вернее все работает, только вот с обновлением ничего не происходит
Спасибо! Сработало! После отключения кабеля обновления по ссылкам Konstantin Yudin встали нормально.
В течении вчерашнего дня проблема с Оффисом не воспроизводилась!
По отсутствию автообновления Винды еще копался.
Исполнение неавторизированного кода заблокировано доктор веб что это
Ваш ключевой файл заблокирован.
Почему вы оказались на этой странице? Найдите ваш вариант и узнайте, как исправить положение!
Ваш ключевой файл был успешно продлен и поэтому заблокирован.
Это стандартная процедура. А сейчас просто удалите старую лицензию из Менеджера лицензий, оставив только новую — действующую.
Щелкните по значку антивируса в области уведомлений
Войдите в административный режим, нажав на замочек в левом нижнем углу окна.
Удалите старую лицензию
Подключите устройство к Интернету
Щёлкните по кнопке вызова меню настроек
(правый верхний угол окна приложения)
Выберите: «Лицензия» — «У меня уже есть лицензия» — «Ввести серийный номер» — «Активировать»
Подключите компьютер к Интернету
Выполните с правами root:
предварительно заменив XXXX-XXXX-XXXX-XXXX на ваш серийный номер
Для систем с графическим интерфейсом
Подключите компьютер к Интернету
Щёлкните по пиктограмме Dr.Web или найдите приложение «Dr.Web для Linux» и откройте его
Щёлкните по кнопке «Лицензия»
Щёлкните по красному крестику справа от номера лицензии
Подтвердите удаление лицензии, щелкнув по изображению замка, и введите логин и пароль суперпользователя
Щёлкните по кнопке «Да», чтобы подтвердить удаление лицензии
В открывшемся «Мастере регистрации» введите ваш серийный номер и нажмите «Активировать»
Подключите устройство к Интернету
Щёлкните по пиктограмме Dr.Web в верхнем правом углу экрана — откроется Dr.Web для macOS
Выберите «Действующая лицензия не найдена» — «Получить новую лицензию» — «Активировать лицензию»
Удалите старую лицензию
Благодарим за доверие и поддержку российского антивируса Dr.Web!
Не получается удалить старую лицензию? Обратитесь в службу поддержки.
Error loaging Pravda Issues, please reload page.
Ваш ключевой файл признан пиратским и заблокирован.
Бесплатные лицензии (включая демо) восстановлению не подлежат.
Если вы являетесь законным обладателем заблокированной коммерческой лицензии на домашний продукт Dr.Web,
самостоятельно замените ключевой файл в вашем личном кабинете «Мой Dr.Web» на вкладке «Лицензии/Блокированы». Подробнее >>
Если вы являетесь законным обладателем заблокированной коммерческой лицензии на бизнес-продукт Dr.Web,
напишите запрос в службу техподдержки и предоставьте документы, подтверждающие оплату вами лицензии.
Заблокировано исполнение неавторизованного кода (Превентивная защита)
Заблокировано исполнение неавторизованного кода
PID: 5812
Процесс: C:\Program Files (x86)\Microsoft Office\root\Office16\WINWORD.EXE
Причина: Попытка выполнения кода из неисполняемой памяти
Прикрепленные файлы:
1. Перевести защиту от эксплойтов в режим спрашивать.
2. Снять дамп с процесса winword.exex после появления сообщения (не закрывая при этом само сообщение).
Прикрепить дамп к сообщению или загрузить в облако, расшарить и ссылку указать.
дамп winword 130mb, выложить здесь не дает ограничение на вложение, PID процесс 2584, выкладываю на обменник:
дамп winword 130mb, выложить здесь не дает ограничение на вложение, PID процесс 2584, выкладываю на обменник:
К сожалению, данный ресурс занесён в наши базы как источник распространения вирусов. Вы могли бы выложить дамп на Яндекс Диск или Google Drive?
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
Классное решение. но оно как-то не подходит.
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
Классное решение. но оно как-то не подходит.
Вы уже проверили, без ABBYY PDF Transformer проблема не воспроизводится?
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
Классное решение. но оно как-то не подходит.
У вас установлен ABBYY PDF Transformer 2.0 от 2006 года. Попробуйте пожалуйста удалить или отключить его и посмотреть, воспроизведется ли проблема.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
использование неавторизованного кода заблокировано
Win7-64, MICROSOFT OFFICE ENTERPRISE 2007 SP1 RUS, Dr.Web Security Space11
Прикрепленные файлы:
MICROSOFT OFFICE ENTERPRISE 2007 SP1
Прикрепленные файлы:
Обновил офис до SP3 результат нулевой
А это у вас при запуске офиса или при открытии документов?
Пробовал отключить компоненты доктора, результат нулевой
Судя по типу детекта, какой то сторонний плагин или модуль
А как определить какой это модуль, изловить его.
Пробовал отключить компоненты доктора, результат нулевой
Чтоб отключить, нужно в настройках превентивной защиты разрешить исполнение неавторизованного кода. Если вы уверены, что у вас в Офисе не завелся какой нить зверек.
А как определить какой это модуль, изловить его.
По идее, когда появляется сообщение от Доктора, в нем указан PID процесса, можно попробовать глянуть в диспечере что это за зверь такой.
Судя по типу детекта, какой то сторонний плагин или модуль
С сайтом проблемы были или у меня я так и не понял, 3 дня не мог зайти. Новый дамп я уже не смогу сделать потому как честно плюнул и снес 2007 офис и поставил 2010, пока без активации, работать то надо край. С данным документом проблем больше не возникало, единственное заметил в некоторых местах вместо слов либо квадратики либо знаки вопроса местами даже половины слова нет, а половина есть. Ну да ладно, решил радикальным способом офис не винда.
А может там все же макровирь? Раз квадратики и все такое