Sandynist Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Добрый день! Для очистки совести сделал логи, а то мало ли чего. Думаем вывихнув мозг про этот банк, а выяснится, что какая-либо хитрая зверушка поменяла настройки. Логи приложил. CollectionLog-2018.07.03-19.58.zip
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Знакома ли Вам, настройка недоверенных сертификатов? O7 - Policy: [Untrusted Certificate] 02C2D931062D7B1DC2A5C7F5F0685064081FB221 - DSDTestProvider O7 - Policy: [Untrusted Certificate] 08E4987249BC450748A4A78133CBF041A3510033 - www.live.fi O7 - Policy: [Untrusted Certificate] 3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - D-LINK CORPORATION O7 - Policy: [Untrusted Certificate] 4822824ECE7ED1450C039AA077DC1F8AE3489BBF - NIC Certifying Authority O7 - Policy: [Untrusted Certificate] 7311E77EC400109D6A5326D8F6696204FD59AA3B - Alpha Networks Inc. O7 - Policy: [Untrusted Certificate] 8B2E65A5DA17FCCCBCDE7EF87B0C0ED5D0701F9F - *.xboxlive.com O7 - Policy: [Untrusted Certificate] 915A478DB939925DA8D9AEA12D8BBA140D26599C - KEEBOX, INC O7 - Policy: [Untrusted Certificate] 98A04E4163357790C4A79E6D713FF0AF51FE6927 - eDellRoot O7 - Policy: [Untrusted Certificate] C6796490CDEEAAB31AED798752ECD003E6866CB2 - NIC CA 2011 O7 - Policy: [Untrusted Certificate] D2DBF71823B2B8E78F5958096150BFCB97CC388A - NIC CA 2014 O7 - Policy: [Untrusted Certificate] DB5042ED256FF426867B332887ECCE2D95E79614 - TRENDnet, Inc. O7 - Policy: [Untrusted Certificate] E1F3591E769865C4E447ACC37EAFC9E2BFE4C576 - MCSHOLDING TEST O7 - Policy: [Untrusted Certificate] Fix all items from the log HiJackThis профиксить R3 - HKCU\..\URLSearchHooks: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5668631E-B34B-460D-9E91-CFB987C20B26} [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms} - Ask Search R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5668631E-B34B-460D-9E91-CFB987C20B26} [URL] = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=kw&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYKZ&apn_uid=9c803b14-9d30-463d-8a81-53dfa0acc3ee&apn_sauid=26760F8F-451D-4502-9430-E893A9003D9A - Ask Search O2 - HKLM\..\BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - HKLM\..\BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\Domino.exe', ''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму
Sandynist Опубликовано 3 июля, 2018 Автор Опубликовано 3 июля, 2018 C:\Windows\Domino.exe Это от вебкамеры от предыдущей модуль, которую я не использую уже.
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Это от вебкамеры от предыдущей модуль, которую я не использую уже.OK, взял просто в карантин, чтобы убедиться в легитимности. Если уверены в легитимности, то просто выполните остальные рекомендации. И пожалуйста ответьте на вопрос касаемо сертификатов.
Sandynist Опубликовано 3 июля, 2018 Автор Опубликовано 3 июля, 2018 Знакома ли Вам, настройка недоверенных сертификатов? А что там не так? Я туда специально не лез. Ставил корневые сертификаты отсюда: http://pki.gov.kz/index.php/ru/ Это был единственный случай, когда требовалось настроить сертификаты. сейчас на всякий пожарный заново их скачал, установил, ничего не изменилось.
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Возможно это подмена. HiJackThis профиксить O7 - Policy: [Untrusted Certificate] Fix all items from the log - Подготовьте лог AdwCleaner и приложите его в теме.
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Сообщите, что с проблемой? - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Sandynist Опубликовано 3 июля, 2018 Автор Опубликовано 3 июля, 2018 Готово. Отчёт прикрепил. Доступ проверил — сайт не открывается. FRST.rar 1 1
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Users\Администратор\AppData\Roaming\NCALayer\NCALayer.exe File: C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-619429170-2572843794-1445462572-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF HKLM\...\Firefox\Extensions: [{6904342A-8307-11DF-A508-4AE2DFD72085}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa => not found FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext => not found FF HKU\S-1-5-21-619429170-2572843794-1445462572-500\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Администратор\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File] FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] CHR HKU\S-1-5-21-619429170-2572843794-1445462572-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx File: C:\Program Files\ce91d926.tmp File: C:\ProgramData\Setting.dat File: C:\ProgramData\SUMQU0C1-FE20-APII-YE7M-BEDSDWMY5R6A.dat CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.33.6\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.23.9\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.145\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.123\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.153\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.33.3\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.149\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.22.3\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.165\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.32.8\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.22.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Temp\mcse32_00.dll -> No File ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Temp\mcse32_00.dll -> No File ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Temp\mcse32_00.dll -> No File ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File ContextMenuHandlers3: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> No File ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File ContextMenuHandlers5: [DreamScene] -> {BE800AEB-A440-4B63-94CD-AA6B43647DF9} => %SystemRoot%\System32\DreamScene.dll -> No File ContextMenuHandlers6: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:F8D65F32 [336] AlternateDataStreams: C:\Users\Все пользователи\TEMP:F8D65F32 [336] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Уточните, если до установки следующего приложения, проблема воспроизводилась? Adblock Plus для IE (32-разрядная версия) (HKLM\...\{EA9DB855-4027-4735-8EFF-4E8E89174C30}) (Version: 1.3 - Eyeo GmbH)
Sandynist Опубликовано 3 июля, 2018 Автор Опубликовано 3 июля, 2018 Готово. Прикрепил отчёт. Fixlog.txt Уточните, если до установки следующего приложения, проблема воспроизводилась? Я его удалил, это не дало никакого эффекта. На текущий момент та же самая картина — сайт работает только через VPN.
SQ Опубликовано 3 июля, 2018 Опубликовано 3 июля, 2018 По каким-то причинам вместо кириллице, в логах иероглифы, могли бы сохранить файл с поддержкой unicode. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: File: C:\Users\Администратор\AppData\Roaming\NCALayer\NCALayer.exe FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Администратор\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File] Zip: C:\Program Files\ce91d926.tmp Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. После выполнения на рабоем столе появиться карантин вида <date>.zip, загрузите этот архив через данную форму
Sandynist Опубликовано 3 июля, 2018 Автор Опубликовано 3 июля, 2018 После выполнения на рабоем столе появиться карантин вида .zip, загрузите этот архив через данную форму Там в файле текст YipC7kEWHq+NxT6wJIwiMcL8BWtQhMOEHe5tvjeJ/Wc= Остался случайно после установки какой-то программы. Fixlog.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти