Доброе время суток. Имеется компьютер Win 7 домашняя расширенная SP1. Проблема: есть интернет-ресурс на порту 8443. Компьютер не может получить доступ к ресурсу, т.к. этот порт на нем блокируется ( на компьютере). Проверял telnet'ом. На других компьютерах при доступе к тому же ресурсу из той же сети все ОК.
Что проверял:
- отключал брандмауэр
- менял интернет-провайдера, сетевую карту
- проверял на вирусы DRWeb'ом и Касперским. DRWeb нашел какого-то трояна в виде dll-ки, Касперский ничего не нашел, но все равно порт заблокирован. Логи (https://cloud.mail.ru/public/4dgB/4xp2gZ5e2). Может кто-нибудь глянуть ?

Здравствуйте!

Логи прикрепляйте к сообщению через "скрепку", пожалуйста.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html):

O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Norton Security Scan for User - C:\PROGRA~2\NORTON~2\Engine\462~1.17\Nss.exe /scan-quick /scheduled (file missing)


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Дополнительно:

Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Логи прикрепляйте к сообщению через "скрепку", пожалуйста. »

На OsZone место крайне ограничено, поэтому через сторонний обменник.
Счас сделаю, отпишу дополнительно по новым логам.

Утилиту используйте из папки Автологера
D:\install\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe

Sandor, После того как в HiJackthis пофиксил вышеуказанные пункты, проблема решилась. Новые логи во вложении.

PS: теперь всегда буду при подобных проблемах смотреть в HiJackThis результаты сканирования.

Тем не менее, давайте продолжим.

1.
Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:

Сбросить политики IE
Сбросить политики Chrome

В меню Панель управления нажмите Сканировать.
Предустановленное ПО - на ваше усмотрение. Можно не карантинить.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

2.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Sandor, Sandor, лог AdwCleaner прикреплен в моем предыдущем посте, вместе с логами Autologger'а
Лог FRST прикреплен .
Sandor, спасибо за помощь.

лог AdwCleaner прикреплен в моем предыдущем посте »
Я его видел (это был лог сканирования S) и на его основании дал рекомендацию, после которой должен получиться лог очистки (символ C).


Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3032384914-24499812-2675010803-1000\...\MountPoints2: F - F:\SISetup.exe
HKU\S-1-5-21-3032384914-24499812-2675010803-1000\...\MountPoints2: {a913af49-a332-11e5-9c40-806e6f6e6963} - E:\Bin\ASSETUP.exe
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {04AAD96A-314E-47A8-B611-07E21753E4A2} - System32\Tasks\Norton Security Scan for User => C:\PROGRA~2\NORTON~2\Engine\462~1.17\Nss.exe
Toolbar: HKU\S-1-5-21-3032384914-24499812-2675010803-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-3032384914-24499812-2675010803-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File
FirewallRules: [{075A0D3C-79D9-4192-BD28-E4CC5534D231}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
FirewallRules: [{B21FB618-8121-478E-AA6F-CE0592DEBDA8}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
FirewallRules: [{9661F9FE-C6B6-4962-BBFE-7C556B213F80}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
FirewallRules: [{2F98A70D-8425-425B-AC4E-DB78683F250C}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
FirewallRules: [{6C8AE144-338A-4974-BF95-BBBA3103302C}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
FirewallRules: [{3AB1FB67-7E94-4B1B-9078-F1F3DB81DE80}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
FirewallRules: [{D7B6886F-9EF4-4A3E-8145-508CEEB3335B}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
FirewallRules: [{39A7136E-E085-43EB-BFD2-96A41B52D37E}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Sandor, fixlog во вложении.
Интересно то, что по сути это был не вирус, а блокировка политикой IPSec, а я на нее даже не смотрел. У меня почему-то в памяти осело что IPSec в WIn 7 Prof и Ent.

Хорошо, в завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.


Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Sandor, уже не сделаю - комп недоступен.

Жаль. Передайте тогда владельцу на будущее - Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)