Всплывающее Уведомление от ESET при воспр-ии Foobar

Список разделов foobar2000 Есть вопрос!

Описание: У вас проблемы с foobar2000 и вам необходима помощь? Спрашивайте здесь!
Правила раздела: Одна тема — один вопрос или группа связанных вопросов. Обязательно формируйте внятный заголовок, максимально отражающий суть. Подробно описывайте проблему. Не забывайте указать версию плеера, название сборки, по возможности добавить скриншоты проблемы.

Сообщение #1 Velkom » 05.12.2020, 12:02

Всех приветствую, доброго времени суток.

Вчера заметил проблему, которая исходит от Foobar2000...но не могу понять "как она нарисовалась" и откуда взялась. Возможно причиной стало добавление новой музыки в плейлист...после я конечно попробовал поудалять эту музыку с плейлиста, удалил файл wavecache и в общем почистил систему...но ничего не изменилось.

в чём проблема:

- при включении Foobar или при воспроизведении любого файла, раз/через раз начинает реагировать ESET Interner Security и всплывает одно и тоже уведомление (прикрепил скрины к данному сообщению), в общем какое-то survey-smiles тчк ком, ESET его постоянно блочит и всплывает это уведомление...срабатывает при включении или воспроизведения нового трека, или уже при идущем воспроизведении...

куда копать незнаю..что можно сделать в плеере? на что может так ругаться ESET...в плейлисте остались только старые плейлисты - на которые Foobar2000 никогда не жаловался...около 2 рабочих лет.

Заранее Спасибо за обсуждение и возможные варианты решения.
Вложения
ESET12345.jpg
Velkom M
Автор темы
Аватара
Репутация: 1
С нами: 4 года 4 месяца

Сообщение #2 VEG » 05.12.2020, 12:57

Сборка? На чистой версии foobar2000 проблема повторяется?
VEG M
Администратор
Аватара
Откуда: Finland
Репутация: 273
С нами: 11 лет 10 месяцев

Сообщение #3 Velkom » 05.12.2020, 13:26

foobar2000 v1.4.8 portable Win7 64bit

запустил Бэкапы моего foobar2000 (с плейлистами) с другого компа, которые лежали на другом компе. Скинул на этот комп. Проблема та же.

Сама проблема чётко вчера появилась. Довольно странно вообще-то. Потому что новый музон, я позавчера себе накачал...и проблем не было таких. А вчера как только я открыл ссылку тинькоффа на банкоматы (карту)...эта фигня начала всплывать (при работающем foobar)
Последний раз редактировалось Velkom 05.12.2020, 14:40, всего редактировалось 1 раз.
Velkom M
Автор темы
Аватара
Репутация: 1
С нами: 4 года 4 месяца

Сообщение #4 vladj » 05.12.2020, 13:34

Нужно почистить файл который наывается hosts и лежит в C:\Windows\System32\drivers\etc. Если не видно там папки, в настройках панели управления рарешаем поках скрытых и системных. Проще всего ввести навсегда в запрет некоторые сайты воспользовавшись программкой DWS Lite, не запустится в вин 10, тогда DWS 10. Приложения запускаем от Админа.
Спойлер
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 s0.2mdn.net
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 view.atdmt.com
0.0.0.0 watson.microsoft.com
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 vortex.data.microsoft.com
0.0.0.0 vortex-win.data.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 wes.df.telemetry.microsoft.com
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.urs.microsoft.com
0.0.0.0 settings-sandbox.data.microsoft.com
0.0.0.0 watson.live.com
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 a-0001.a-msedge.net
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 rad.msn.com
0.0.0.0 preview.msn.com
0.0.0.0 ad.doubleclick.net
0.0.0.0 ads.msn.com
0.0.0.0 ads1.msads.net
0.0.0.0 ads1.msn.com
0.0.0.0 a.ads1.msn.com
0.0.0.0 a.ads2.msn.com
0.0.0.0 adnexus.net
0.0.0.0 adnxs.com
0.0.0.0 az361816.vo.msecnd.net
0.0.0.0 az512334.vo.msecnd.net
0.0.0.0 ssw.live.com
0.0.0.0 ca.telemetry.microsoft.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 vortex-sandbox.data.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 pre.footprintpredict.com
0.0.0.0 spynet2.microsoft.com
0.0.0.0 spynetalt.microsoft.com
0.0.0.0 fe3.delivery.dsp.mp.microsoft.com.nsatc.net
0.0.0.0 cache.datamart.windows.com
0.0.0.0 db3wns2011111.wns.windows.com
0.0.0.0 settings-win.data.microsoft.com
0.0.0.0 v10.vortex-win.data.microsoft.com
0.0.0.0 win10.ipv6.microsoft.com
0.0.0.0 ca.telemetry.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
Ну и можно отредактировать файл hosts просто в блокноте. Строчка должна например выглядеть так...
0.0.0.0 survey.watson.microsoft.com
В принципе чистя там можно все адреса просто повыбрасывать удалив их или заменить проставив впереди нолики.
Если просто выбросить адрес, он может снова подхватится, проставляя для сайта в адресе нолики мы его запрещаем навсегда.
Если нужно обновлятся, в запрет не ставим сайты, где упоминается апдейт, в запрете у меня все сайты с телеметрией. Список закатал под спойлер, т.к. у меня Code не работает что-то.
vladj M
Аватара
Откуда: Пермский край
Репутация: 427
С нами: 14 лет 2 месяца

Сообщение #5 VEG » 05.12.2020, 13:48

vladj, это явно никакого отношения к проблеме пользователя не имеет.

Velkom, так может не сам foobar2000 источник проблемы?
VEG M
Администратор
Аватара
Откуда: Finland
Репутация: 273
С нами: 11 лет 10 месяцев

Сообщение #6 vladj » 05.12.2020, 13:59

VEG:это явно никакого отношения к проблеме пользователя не имеет
Имеет и ещё как... я не рискую его посылать вручную реестр чистить (может и систему сломать), При открытии треков в фубаре в реестре у него прописаны эти пути на мелкософтовские смайлики. Удаляя какую-то заразу с компа можно просто даже посмотреть реестр запустив от админа regedit.exe, там Правка, найти и вбиваем в поиск то, что нас интересует, в данном случае ищем сурвей-смайл сом или просто сурвей смайл. Можно ведь посмтореть весь реестр просто ничего там не меняя. Пользователь должен быть хозяином на своём компе, а не отдавать его на откуп не знамо кому.
vladj M
Аватара
Откуда: Пермский край
Репутация: 427
С нами: 14 лет 2 месяца

Сообщение #7 Velkom » 05.12.2020, 14:22

Пробовал такие варианты:

1) Вбил в гугл сурвей этот, нашел пару обсуждений на реддите. Первое находится так (в гугле): foobar2000 survey-smiles

Там один человек, говорит:
I have this exact same problem. I just installed malwarebytes last night. I installed it because I was getting a pop-up page in firefox occasionally (some type of "thank you for using firefox - Free netflix" type scam). I'm using a different Foobar skin, d4rkone or something like that.

На что ему ответили:

Does your skin have a lyric finder? Like /u/ggfools said above, I did a bit more googling and people with similar issues seem to jump to this conclusion that the lyric finder component tries to scrape up lyrics online and ends up triggering some riskware. Maybe if we can remove the lyric finder from the skin.

Меня почему этот пункт немного беспокоит, я использую скин DarkOne v4.0, уже второй год.

2) Второе обсуждение также с Реддита, вбив в гугл: survey-smiles . Заголовок будет: Malware(?) causing browser redirects: Ubuntu - Reddit

Там люди уже в комментах говорят об варианте попробовать софт: сlamav

Дословно:

- have you tried running clamav ?

- I followed your suggestion and even though it looks like clamav itself only gave some false positives, one of them was a file in my FF cache so just to be sure I installed Bleachbit and cleared all caches/temp storages that could reasonably hold malicious files and voila, it was immediately fixed. Im still very surprised that this seemingly was caused by visiting a malicious website and then managed to affect the entire OS.. yet was fixed so easily. Oh well!

For people who come here from Google: Html.Exploit.CVE_2017_0221-6306915-0 is what was found in my FF cache. Dont know if it was the cause but thats what came up.


В общем я вот сейчас разбирался с этим Clamav, смог его запустить и прогнать по плееру. Но он в нем ничего не нашёл. (КОГДА ЭТО ПИШУ ПОНИМАЮ, ЧТО НАДО ПОПРОБОВАТЬ ВЕСЬ ДИСК С ИМ ПРОГНАТЬ). Плеер и я включал + одновременно сканировку = ESET светил уведомления эти, но этот Clamav ничего не показал по итогу.

Ну и при выключенном тоже прогнал. Тоже самое = пусто.

Потом я пошел по следующему совету (из поста на eng выше с реддита). Поставил этот Bleachbit (это типа чистилки ССleaner, и человек с реддита говорит, что ему помогло по схожей проблемы, но не с фубар), ну и я всё почистил...выставил галки на очистить всё что можно. До этого я также пытался тем, что имею (CCleaner, Ashampoo WinOptimizer 15, ручками по браузерам и папкам Temp).

Перезагрузил = эффекту 0. Когда включаю плеер и начинаю воспроизведение, то эти уведомления от ESET всплывают хаотично. Или по середине, когда трек играет, или когда новый трек запускаю или сам запускается при воспроизведении сл.трека..

------------------------------------------------------------------------------------------

P/S vladj, реестр посмотрел поиском разными вариациями набирания найти этот syrvey-smiles и с .com и с http и так и сяк. Реестр ничего не находит. Файл hosts посмотрел, там всё чисто и старо как было и раньше...никаких изменений в нем нет, кроме мной вносимых года 2 назад.

VEG, да я уже незнаю...но ругается ESET только при включенном и играющем Foobar2000 на это. Я уже отключал Foobar, и просто юзал браузеры которые у меня установлены. ESET не ругается. Включаю Foobar2000 нажимаю Play и начинает ESET ругаться...Плюс как говорю, запускаешь другой portable с другого компа Бэкап, и тоже самое начинает происходить...
Velkom M
Автор темы
Аватара
Репутация: 1
С нами: 4 года 4 месяца

Сообщение #8 AHAPXICT » 05.12.2020, 14:23

survey-smiles.com VS virustotal.com
vladj:Пользователь должен быть хозяином на своём компе, а не отдавать его на откуп не знамо кому.
Лайк
AHAPXICT M
Аватара
Откуда: Киев
Репутация: 252
С нами: 10 лет 4 месяца

Сообщение #9 VEG » 05.12.2020, 14:24

vladj:у него прописаны эти пути на мелкософтовские смайлики
survey-smiles.com никакого отношения к Microsoft не имеет.

Добавлено спустя 8 минут 13 секунд:
Velkom:Does your skin have a lyric finder? Like /u/ggfools said above, I did a bit more googling and people with similar issues seem to jump to this conclusion that the lyric finder component tries to scrape up lyrics online and ends up triggering some riskware. Maybe if we can remove the lyric finder from the skin.
Очень похоже может быть что именно это. Вероятно, что какие-то из сайтов, на котором ищутся слова песен, закрылся, и его домен заняли сквоттеры, разместили там какую-нибудь сомнительную ерунду или редирект на этот survey-smiles.com, который в чёрных списках у антивирусов. Вот они и ругаются. Если плагин что ищет слова написан адекватно и без уязвимостей, то ничем опасным это не грозит. Максимум что неправильные слова будет находить. Ну и антивирусам не нравится, что кто-то шлёт запросы на сайты из чёрного списка.

Вообще сам факт наличия сайта в чёрном списке у антивирусов не говорит о том, что там есть что-то ужасное. Мой veg.by совсем недавно попадал в чёрные списки, так как каким-то антивирусам не понравилась чрезмерно оптимизированная версия Sound Keeper, что мне даже пришлось добавлять в программу лишний неиспользуемый код, чтобы антивирусы не ругались и сайт разблокировали. На работе стоит MalwareBytes, и он часто банит нормальные сайты. Я бы удалил его, да положено чтобы на компах компании стояло.
VEG M
Администратор
Аватара
Откуда: Finland
Репутация: 273
С нами: 11 лет 10 месяцев

Сообщение #10 SergPuh.68 » 05.12.2020, 14:47

Тогда,если я правильно понял нужно в компоненте лирика 3 нужно отключить все источники и попробовать или вообще удалить компонент и попробовать :smile:
SergPuh.68 M
Аватара
Откуда: Украина
Репутация: 142
С нами: 5 лет 2 месяца

Сообщение #11 Velkom » 05.12.2020, 15:11

да, в общем запустил плеер на другом компе. У того плеера такой же скин. ESET также ругается.

Мне кажется именно на *луриксы (а именно коннекты с серваками каких-то сайтов, откуда он их тащит) ругань началась, по причинам, которые описывает VEG и SergPuh.68. А изначально с Реддита человек.

И началось это только вчера. До этого юзая плееры ничего не было около 1-2 лет...


SergPuh.68, я его в общем удалил вообще этот компонент.


Посмотрим, что будет... ЧЕРЕЗ НЕКОТОРОЕ ВРЕМЯ ИЛИ ПАРУ ДНЕЙ, ДАМ ОТВЕТ. УШЛА ПРОБЛЕМА ИЛИ НЕТ.

Всем спасибо за диалог и варианты к отработке
Вложения
222222.jpg
Последний раз редактировалось Velkom 05.12.2020, 15:18, всего редактировалось 3 раз(а).
Velkom M
Автор темы
Аватара
Репутация: 1
С нами: 4 года 4 месяца

Сообщение #12 AHAPXICT » 05.12.2020, 15:12

VEG, очень может быть, я сначала не обратил внимание и дословно не перевёл текст. Давно не слышал слово сквоттер да ещё в применении к доменам зачёт.
Не проверял и не буду, но есть подозрение, о чём VEG сказал, что возможно это нерабочие DB (БД базы данных) из лирики.
Online DB.png
Online DB.png (4.9 КБ) Просмотров: 1973
AHAPXICT M
Аватара
Откуда: Киев
Репутация: 252
С нами: 10 лет 4 месяца

Сообщение #13 Velkom » 06.12.2020, 12:59

Да, всё отлично. С вчерашнего дня по сегодня, гоняю Foobar, нет уведомлений от ESET.

Спасибо за диалог и помощь. Всем здоровья.
Velkom M
Автор темы
Аватара
Репутация: 1
С нами: 4 года 4 месяца

Сообщение #14 kolobok15 » 07.12.2020, 12:15

Так в каком именно источнике текстов песен был затык?
kolobok15
Репутация: 3
С нами: 11 лет 4 месяца

Сообщение #15 Velkom » 08.12.2020, 11:33

я не стал на этом заморачиваться, просто удалил весь компонент. Я не пользовался им в общем, потому и углубляться не стал.
Velkom M
Автор темы
Аватара
Репутация: 1
С нами: 4 года 4 месяца


Вернуться в Есть вопрос!