Нет доступа в интернет кроме IE.

[Alexey_l]

Здравствуйте!  В интернет выходит только IE, когда запускался через AVZ, то и из IE не было доступа. Подключал ЖД к другому компу, сканировал Касперским и Malwarebytes Anti-Malware Premium последняя что-то нашла, но ничего не поменялось.

CollectionLog-2017.01.01-18.19.zip

Изменено 1 января, 2017 пользователем Alexey_l

[SQ]

Здравствуйте,

 

Удалите Mobogenie через установку программ в панели управления

 

HiJackThis (из каталога автологгера) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
O22 - ScheduledTask: (Ready) Digital Sites - {root} - C:\Users\samsung\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE /Check (file missing)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\samsung\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Users\samsung\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Digital Sites" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Alexey_l]

Mobogenie уже нет, был стерт Malwarebytes (я посмотрел лог)

 

Похоже, что отправлять нечего - в папке карантина только лог следующего содержания

[infectedFile]

Src=\??\C:\Users\samsung\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE

Infected=bcqr00001.dat

Virus=BootCleaner quarantine

Size=0

CopyStatus=C0000034

По адресу c:\Users\samsung\AppData\Roaming\DigitalSites\UpdateProc\ , исполняемых файлов нет.

 

Лог скана и чистки от AdwCleaner приложен.

Вот что ранее было найдено Malwarebytes Anti-Malware

 

Файлы: 21

PUP.Optional.BonanzaDeals, P:\Program Files\BonanzaDealsLive\Update\1.3.23.0\BonanzaDealsLiveBroker.exe, Помещено в карантин, [575e10668a1e9e9873ecdf87a45d936d], 

PUP.Optional.BonanzaDeals, P:\Program Files\BonanzaDealsLive\Update\1.3.23.0\BonanzaDealsLiveOnDemand.exe, Помещено в карантин, [c0f57303743482b419460e5850b16f91], 

PUP.Optional.BonanzaDeals, P:\Program Files\BonanzaDealsLive\Update\1.3.23.0\goopdate.dll, Помещено в карантин, [8e27d4a2edbb50e64b1470f62bd617e9], 

PUP.Optional.BonanzaDeals, P:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll, Помещено в карантин, [b5002056891f05315e01fd69936e7090], 

PUP.Optional.BonanzaDeals, P:\Program Files\BonanzaDealsLive\Update\1.3.23.0\psmachine.dll, Помещено в карантин, [74415a1ce8c05ed86bf49fc738c9aa56], 

PUP.Optional.BonanzaDeals, P:\Program Files\BonanzaDealsLive\Update\1.3.23.0\psuser.dll, Помещено в карантин, [2f86fe786c3c5dd9a9b62640eb16728e], 

PUP.Optional.WiseRC, P:\Program Files\Wise\Wise Registry Cleaner\WiseRegCleaner.exe, Помещено в карантин, [feb7373f2880a591a1afbbe8659bd22e], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Device.dll, Помещено в карантин, [595c71059f09d75fbcdde01020e17c84], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\aapt.exe, Помещено в карантин, [c9ecbabcd5d3c670405944acfa0718e8], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\DaemonProcess.exe, Помещено в карантин, [8d2881f5198fec4abcddb33d52afc33d], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\DCR.dll, Помещено в карантин, [04b12353ddcb74c27c1df3fd986918e8], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\DriverInstall_x64.exe, Помещено в карантин, [d0e52c4abeea2214e9b0b33d32cfa25e], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\DriverInstall_x86.exe, Помещено в карантин, [6e476e083474c67082179e5225dc9967], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\lsusb.exe, Помещено в карантин, [971ef3834761af8759407f71ff0218e8], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\mgadb.exe, Помещено в карантин, [763ffa7caafec5712a6fa05025dc4eb2], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\MgAssist.exe, Помещено в карантин, [7243a4d270383df9940528c81ce502fe], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\mgusb.exe, Помещено в карантин, [367f7afcc2e61b1bfc9d49a7a958ad53], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.exe, Помещено в карантин, [ebca0c6a941476c0f4a59060dd24a35d], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\New_UpdateMoboGenie.exe, Помещено в карантин, [a114631396124de92772539d46bbad53], 

Adware.MoboGenie, P:\Users\samsung\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\OutlookOperatorC.exe, Помещено в карантин, [862faec8c5e32a0cf2a7ce22b849c838], 

PUP.Optional.WiseRC, P:\Users\samsung\Desktop\РСИ 2014 год\281745\WRC9Setup.exe, Помещено в карантин, [94214e282583a1953e317136926e38c8], 

AdwCleanerC0.txt

AdwCleanerS0.txt

Изменено 1 января, 2017 пользователем Alexey_l

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Alexey_l]

Готово

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-1838657888-2390876101-1112990759-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  Toolbar: HKU\S-1-5-21-1838657888-2390876101-1112990759-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  CHR DefaultSearchURL: Default -> hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
  CHR DefaultSearchKeyword: Default -> yambler
  CHR HKLM\...\Chrome\Extension: [bkailahlmeablpbajegfdlcnabbloadi] - <no Path/update_url>
  CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
  CustomCLSID: HKU\S-1-5-21-1838657888-2390876101-1112990759-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-1838657888-2390876101-1112990759-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-1838657888-2390876101-1112990759-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> no filepath
  Task: {C5CA194E-0D92-4CC9-9203-02FC132994EF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [128]
  AlternateDataStreams: C:\ProgramData\Temp:A42A9F39 [124]
  AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE [118]
  AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D [145]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:4CF61E54 [128]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:A42A9F39 [124]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:ABE89FFE [118]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D [145]
  FirewallRules: [{007625E2-D1EC-4244-BF22-2435F02ABC44}] => svchost.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Alexey_l]

Без изменений

Fixlog.txt

[SQ]

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Alexey_l]

Готово

 

Upd:

Образ сделал до того как почистил куки и днс. Переделать?

Интернет не видит не только Яндекс браузер, но и онлайн установщик Касперского, а установленный из образа, не коннектится к серверу лицензий и обновлений, хотя из командной строки сервер обновлений пингуется.

SAMSUNG-ПК_2017-01-01_23-59-14.7z

Изменено 1 января, 2017 пользователем Alexey_l

[SQ]

У Вас на ПК используется 2-а антивирусных продукта?

Выполните скрипт в uVS:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
BREG
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}
deltmp
restart 

[Alexey_l]

Не помогло.

Это бук родственников, сложно сказать кто и что на него ставил. Полноценного антивирусного ПО я не нашел, хотя следы от дрВеб были. Есть лицензия на Касперского его попробовал поставить (уже после появления проблем).

[SQ]

В логах ничего плохого больше не заметил. Возможно проблема системная или из-за сбоя предыдущего антивирусного продукта.

Пробуйте сервисной утилитой удалить остатки DrWeb антивируса.

[Alexey_l]

В логах ничего плохого больше не заметил. Возможно проблема системная или из-за сбоя предыдущего антивирусного продукта.

Пробуйте сервисной утилитой удалить остатки DrWeb антивируса.

 

«Вот зараза!» (с)

Спасибо, помогло!

[SQ]

Проблема ушла?

[Alexey_l]

Да ушла

 

Проблема ушла?