Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   IE не открывает часть сайтов (http://forum.oszone.net/showthread.php?t=332980)

babax4 04-02-2018 13:00 2795713
IE не открывает часть сайтов
 
Вложений: 1
Добрый день. Вчера обнаружил, что Интернет Эксплорер не открывает часть сайтов (касперский, микрософт), в том числе сайт интернет-банка - пишет, что не может отобразить страницу, предлагает проверить интернет-подключение и т.д. При этом многие сайты открывает без проблем. В других браузерах подобной проблемы не обнаружено. Огромная просьба помочь с данной проблемой. Логи прилагаю.

akok 04-02-2018 14:38 2795736
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('hpdj3600');
 QuarantineFile('C:\WINDOWS\Temp\hpdj3600.exe', '');
 QuarantineFile('C:\WINDOWS\Temp\cis28A.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job" /F', 0, 15000, true);
 DeleteFile('C:\WINDOWS\Temp\hpdj3600.exe', '32');
 DeleteFile('C:\WINDOWS\Temp\cis28A.exe', '32');
 DeleteService('hpdj3600');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - HKU\.DEFAULT\..\URLSearchHooks: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: KAVOverlayIcon - {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} - (no file)
O22 - Task (Job): CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job - C:\WINDOWS\Temp\cis28A.exe --PostUninstall {81EFDD93-DBBE-415B-BE6E-49B9664E3E82}

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

babax4 04-02-2018 15:45 2795762
Вложений: 1
Здравствуйте, скрипты выполнил. Карантин отправлен. В хайджеке указанные Вами пункты пофикшены. Архив с логами Farbar прилагаю.

Спасибо огромное Вам за помощь!

akok 04-02-2018 16:09 2795771
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\WINDOWS\System32\termsrv.dll;C:\WINDOWS\system32\uphclean.exe;C:\WINDOWS\system32\winlogon.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    Toolbar: HKU\S-1-5-21-796845957-329068152-1417001333-1004 -> No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
    Toolbar: HKU\S-1-5-21-796845957-329068152-1417001333-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    Toolbar: HKU\S-1-5-21-796845957-329068152-1417001333-1004 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} -  No File
    Toolbar: HKU\S-1-5-21-796845957-329068152-1417001333-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    Toolbar: HKU\S-1-5-21-796845957-329068152-1417001333-1004 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers2: [cdclose] -> {8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    AlternateDataStreams: C:\Documents and Settings\All Users\DRM:احتضان [48]
    AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:C8B8CEBD [124]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Все аккаунты используются?
Код:
ASPNET (S-1-5-21-796845957-329068152-1417001333-1005 - Limited - Enabled)
IVS (S-1-5-21-796845957-329068152-1417001333-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\IVS
IVSTech (S-1-5-21-796845957-329068152-1417001333-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\IVSTech
Администратор (S-1-5-21-796845957-329068152-1417001333-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор
Гость (S-1-5-21-796845957-329068152-1417001333-501 - Limited - Enabled)
https://support.microsoft.com/ru-ru/...net-explorer-8 - есть доступ к статье?

babax4 04-02-2018 16:29 2795779
Вложений: 1
Цитата:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сделано. Лог прилагаю.

Цитата:
Все аккаунты используются?
Используются IVS, IVSTech и Администратор. Остальные не используются и при запуске их не видно.

Цитата:
https://support.microsoft.com/ru-ru/...net-explorer-8 - есть доступ к статье?
В Хроме есть. В Интернет Эксплорере данная статья не открывается.

Спасибо огромное за помощь.

babax4 05-02-2018 14:03 2795938
Здравствуйте. После удаления и переустановки антивируса всё заработало. Тему наверное можно закрывать. Спасибо огромное за помощь!

Sandor 05-02-2018 14:07 2795939
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Время: 01:43.

Время: 01:43.
© OSzone.net 2001-