Нет доступа к банку

[Sandynist]

Добрый день!

 

Для очистки совести сделал логи, а то мало ли чего. Думаем вывихнув мозг про этот банк, а выяснится, что какая-либо хитрая зверушка поменяла настройки. Логи приложил.

 

CollectionLog-2018.07.03-19.58.zip

[SQ]

Знакома ли Вам, настройка недоверенных сертификатов?

O7 - Policy: [Untrusted Certificate] 02C2D931062D7B1DC2A5C7F5F0685064081FB221 - DSDTestProvider
O7 - Policy: [Untrusted Certificate] 08E4987249BC450748A4A78133CBF041A3510033 - www.live.fi
O7 - Policy: [Untrusted Certificate] 3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - D-LINK CORPORATION
O7 - Policy: [Untrusted Certificate] 4822824ECE7ED1450C039AA077DC1F8AE3489BBF - NIC Certifying Authority
O7 - Policy: [Untrusted Certificate] 7311E77EC400109D6A5326D8F6696204FD59AA3B - Alpha Networks Inc.
O7 - Policy: [Untrusted Certificate] 8B2E65A5DA17FCCCBCDE7EF87B0C0ED5D0701F9F - *.xboxlive.com
O7 - Policy: [Untrusted Certificate] 915A478DB939925DA8D9AEA12D8BBA140D26599C - KEEBOX, INC
O7 - Policy: [Untrusted Certificate] 98A04E4163357790C4A79E6D713FF0AF51FE6927 - eDellRoot
O7 - Policy: [Untrusted Certificate] C6796490CDEEAAB31AED798752ECD003E6866CB2 - NIC CA 2011
O7 - Policy: [Untrusted Certificate] D2DBF71823B2B8E78F5958096150BFCB97CC388A - NIC CA 2014
O7 - Policy: [Untrusted Certificate] DB5042ED256FF426867B332887ECCE2D95E79614 - TRENDnet, Inc.
O7 - Policy: [Untrusted Certificate] E1F3591E769865C4E447ACC37EAFC9E2BFE4C576 - MCSHOLDING TEST
O7 - Policy: [Untrusted Certificate] Fix all items from the log

HiJackThis профиксить

R3 - HKCU\..\URLSearchHooks: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5668631E-B34B-460D-9E91-CFB987C20B26} [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms} - Ask Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5668631E-B34B-460D-9E91-CFB987C20B26} [URL] = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=kw&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYKZ&apn_uid=9c803b14-9d30-463d-8a81-53dfa0acc3ee&apn_sauid=26760F8F-451D-4502-9430-E893A9003D9A - Ask Search
O2 - HKLM\..\BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - HKLM\..\BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Windows\Domino.exe', '');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

[Sandynist]

 

 

C:\Windows\Domino.exe

 

Это от вебкамеры от предыдущей модуль, которую я не использую уже.

[SQ]

Это от вебкамеры от предыдущей модуль, которую я не использую уже.

OK, взял просто в карантин, чтобы убедиться в легитимности. Если уверены в легитимности, то просто выполните остальные рекомендации. И пожалуйста ответьте на вопрос касаемо сертификатов.

[Sandynist]

 

 

Знакома ли Вам, настройка недоверенных сертификатов?

 

А что там не так? Я туда специально не лез. Ставил корневые сертификаты отсюда: http://pki.gov.kz/index.php/ru/

Это был единственный случай, когда требовалось настроить сертификаты. сейчас на всякий пожарный заново их скачал, установил, ничего не изменилось.

[SQ]

Возможно это подмена.

 

HiJackThis профиксить

O7 - Policy: [Untrusted Certificate] Fix all items from the log

- Подготовьте лог AdwCleaner и приложите его в теме.

[Sandynist]

Готово.

AdwCleanerS00.txt

[SQ]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Sandynist]

Прикрепил. 

 

AdwCleanerS01.txt

[SQ]

Сообщите, что с проблемой?

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Sandynist]

Готово. Отчёт прикрепил. Доступ проверил — сайт не открывается.

 

FRST.rar

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Users\Администратор\AppData\Roaming\NCALayer\NCALayer.exe
  File: C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat
  BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
  Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-619429170-2572843794-1445462572-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  FF HKLM\...\Firefox\Extensions: [{6904342A-8307-11DF-A508-4AE2DFD72085}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa => not found
  FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext => not found
  FF HKU\S-1-5-21-619429170-2572843794-1445462572-500\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
  FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
  FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Администратор\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
  FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
  CHR HKU\S-1-5-21-619429170-2572843794-1445462572-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Program Files\ce91d926.tmp
  File: C:\ProgramData\Setting.dat
  File: C:\ProgramData\SUMQU0C1-FE20-APII-YE7M-BEDSDWMY5R6A.dat
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.33.6\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.23.9\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.145\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.123\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.153\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.33.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.149\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.22.3\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.165\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.32.8\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.22.5\psuser.dll => No File
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File
  ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Temp\mcse32_00.dll -> No File
  ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Temp\mcse32_00.dll -> No File
  ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Temp\mcse32_00.dll -> No File
  ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
  ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
  ContextMenuHandlers3: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> No File
  ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
  ContextMenuHandlers5: [DreamScene] -> {BE800AEB-A440-4B63-94CD-AA6B43647DF9} => %SystemRoot%\System32\DreamScene.dll -> No File
  ContextMenuHandlers6: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:F8D65F32 [336]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:F8D65F32 [336]
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

   

Уточните, если до установки следующего приложения, проблема воспроизводилась?

 

Adblock Plus для IE (32-разрядная версия) (HKLM\...\{EA9DB855-4027-4735-8EFF-4E8E89174C30}) (Version: 1.3 - Eyeo GmbH)

[Sandynist]

Готово. Прикрепил отчёт.

 

Fixlog.txt

 

 

Уточните, если до установки следующего приложения, проблема воспроизводилась?

 

 

 

Я его удалил, это не дало никакого эффекта. На текущий момент та же самая картина — сайт работает только через VPN.

[SQ]

По каким-то причинам вместо кириллице, в логах иероглифы, могли бы сохранить файл с поддержкой unicode.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Users\Администратор\AppData\Roaming\NCALayer\NCALayer.exe
  FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Администратор\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
  Zip: C:\Program Files\ce91d926.tmp
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

После выполнения на рабоем столе появиться карантин вида <date>.zip, загрузите этот архив через данную форму
 

[Sandynist]

После выполнения на рабоем столе появиться карантин вида .zip, загрузите этот архив через данную форму

 

 

Там в файле текст

 

 

YipC7kEWHq+NxT6wJIwiMcL8BWtQhMOEHe5tvjeJ/Wc=

 

Остался случайно после установки какой-то программы.

 

Fixlog.txt