Пострадавшим от фишинговых страниц Сбербанк-Онлайн

[Vvvyg]

Тогда так пока сделайте. Запустите FRST, в окно поиска вставьте AutoConfigUrl и нажмите Search Registry. По завершению откроется файл с результатами, приложите его.

[fuzzy]

Неистребима тварь ,вновь там в 2 местах
Наверное, она подгружается из инета постоянно, я же в нем сижу.
Но в HKLM CLSIDов не образовалось.

Но с другой стороны, что с этими autoconfigurl, что без них - неустраивающий результат один и тот же.

Есть ли тулза, которая не просто будет мониторить на лету модификацию реестра, но и поймет и запишет в лог, какой процесс, когда и от имени какого аккаунта это делает?
Может тогда вычистить реестр в очередной раз, создать нового не привилегированного пользователя ,каким-то образом отобрать у него права на запись в определенные ветки реестра, и уже только под ним заходить работать в надежде ,что с новым профилем пользователя будет все хорошо , в т.ч. и в его экземпляре IE?

[Vvvyg]

"Из интернета" саамо такое не загружается.
Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamWrite('HKEY_USERS', 'S-1-5-21-1422821301-2940809417-614508225-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1422821301-2940809417-614508225-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
end.

Сообщите, что выдаст программа.

Если не поможет - будем искать причину дальше.

[fuzzy]

Да, первый параметр вставился со значением 0, второй удалился. Написал, что скрипт выполнился без ошибок.
ВАЖНОЕ ДОПОЛНЕНИЕ!!!
Помните, в моем посте #6 я писал про
"5. на месте удаляемого HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Connections\\DefaultConnectionSettings присутствует странное и заполненное двоичным значением имя некоего параметра в виде 3х ромбиков со знаками вопроса внутри"

Так вот эти 4 ромбика скорее всего те же самые буквы соединения с именем МГТС. А оно у меня действительно есть. Прикол в том, что тут же рядом с этим параметром есть такой же параметр, но уже с правильными буквами МГТС. А вот во внутренностях его, в двоичном коде (если раскрыть параметр) явным образом виднеются этот самый piterame.com. И в третьем присутствующем в этой ветке параметре SavedLegacySettings тоже самое содержимое.

При детальном рассмотрении почти идентичны между собой только SavedLegacySettings и МГТС, а вот именно "ромбики" и есть видимо оригинальное прошлое (до заражение) чистое соединение, ибо внутри нет piterame.com. Поэтому зараза после уничтожения вновь прет ко мне ТОЛЬКО после установления зараженного соединения через "МГТС"

Заменил двоичным содержимым внутри оригинальной строки без твари две остальные строки и пересоздал новое ADSL соединение. Возможно, эти строки можно и не держать, а удалить вовсе. Новое все равно создается не в этом месте.
Итог, фишинговая страница ушла, хромом вхожу нормально, IE начал открывать сайты, включая сбер, каспер говорит, что ssl сертификат нормальный.
Но все же именно ослом по кнопке Вход сбера висит и ничего не открывает, хотя в регистрацию пускает правильно.

Издержки всего этого лечения скриптами - похерен MS Office starter без возможности восстановления, т.к продукт был OEM. Задели.

[Vvvyg]

Помните, в моем посте #6 я писал про
"5. на месте удаляемого HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Connections\\DefaultConnectionSettings присутствует странное и заполненное двоичным значением имя некоего параметра в виде 3х ромбиков со знаками вопроса внутри"

Можно привести экспорт этих веток реестра?

Итог, фишинговая страница ушла, хромом вхожу нормально, IE начал открывать сайты, включая сбер, каспер говорит, что ssl сертификат нормальный.
Но все же именно ослом по кнопке Вход сбера висит и ничего не открывает, хотя в регистрацию пускает правильно.

Попробуйте сброс IE, правда, возможно, придётся переустановить надстройки. "Свойства обозревателя" -> "Дополнительно" -> "Сброс...".

Издержки всего этого лечения скриптами - похерен MS Office starter без возможности восстановления, т.к продукт был OEM. Задели.

Это, похоже, Ваша самодеятельность "Восстановлением системы" в AVZ.

[fuzzy]

Можно привести экспорт этих веток реестра?
Попробуйте сброс IE, правда, возможно, придётся переустановить надстройки. "Свойства обозревателя" -> "Дополнительно" -> "Сброс...".

А в этих параметрах не содержится логин-пароль к соединению для всеобщего обозрения?

Такой сброс несколько раз до этого делал (пока IE не работал). И сейчас сделал, нужно перегрузиться. Но всегда из 3х или 4-х шагов первый, "Сброс пользовательских настроек" с красным крестиком, т.е. якобы невозможен.

А может быть непрогрузка страницы со входом в Сбер следствием того, что я ранее, столкнувшись с проблемой недействительного ssl-сертификата фишинговой страницы, запретил во всплывающем окне Касперского Free, уже тогда стоявшего у меня, ходить на этот сайт по https? Вот только не помню, делал я это в IE или в хроме. Может эта настройка в Каспере запомнилась и теперь по правилу тоже не пускает? Имеет значение в этом случае для антивируса, из какого браузера я создал такое "правило"?

[Vvvyg]

А в этих параметрах не содержится логин-пароль к соединению для всеобщего обозрения?

Упакуйте с паролем, пароль - мне в личные сообщения.

[fuzzy]

Опять лимит превышен. http://rgho.st/8hNgnCFRF В личку отправлю.

Не ответили на второй вопрос насчет запрета в касперском. Или есть иная причина? Ибо после сброса и перегруза все по-прежнему, пыжится открыть и без результата. Стал пробовать другие сайты, которые хром открывает, тоже просто долго грузит, либо зависает системно, либо потребляет до 25% ЦП даже на открывшемся одном сайте (всего 1 закладка). Что-то в нем после всего.

[Vvvyg]

Думаю запрет в антивирусе распространяется на сайт. Возможно, для приложения IE тоже какие-то ограничения задали.
В безопасном режиме с поддержкой сети как?

[fuzzy]

Единственное ,что я "настраивал", это нажал кнопку Разорвать соединение, когда в касперском всплыло предупреждение ,что сертификат недействительный. Не знаю, что за этим действием кроется у него, но пролазив в его настройках, не нашел занесенного в черные списки сайта или приложения IE. Однако, и при отключенной службе антивируса картина с браузером такая же.

Никак. По F5 вошел якобы с поддержкой сети, но adsl-Соединение не логинится.

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx

В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.

[fuzzy]

rghost перестал (у меня одного?) работать, поэтому http://файлообменник.рф/g2j01ggn3z73.html
На всякий случай вложил в архив и созданный вместе с эвентом текстовый лог

Поддержка касперского советовала просто установить однократно их сертификат, распространяющийся на все поддерживаемые ими браузеры (хром, осел, лис). И якобы проблем не будет, а как такового перманентного запрета входа на сайт, от прохода на который когда-то единожды отказался, нет. Я сделал, но ничего кардинального не произошло.

[Vvvyg]

Rghost иногда бывает недоступен.

Не нравится мне то, что в журналах множество ошибок дисков, большая часть относится, скорее всего, к сменным носителям, но и к HDD тоже. Нет проблем с дисками? От этого любые глюки могут вылезти.

[fuzzy]

СМенных носителей не было во время съема логов. На диски не жаловался. Есть только выявленная проблема с невозможностью войти вновь созданным пользователем из-за автоматического не создания системой соотв. нового профиля. Оказывается не у одного меня такая проблема после миграции с семерки на десятку. Причина в битой папке default, а сем ее заменить ,если нет дистриба windows?

[Vvvyg]

В журналах записи о сбоях - за весь май.

Дистрибутив 10-ки можно скачать с помощью средства для создания носителя.

[fuzzy]

имеете в виду Eventlog? там о дисках ничего подозрительного.
Под рукой нет свободной флэшки размером больше 2 Гб, нужно от 3х. Мне нужно же только временно. Попробовал создать iso c размещением не на DVD, а в директорию на харде, тем более предлагает указать путь. Потом бы расковырял iso-Образ. Средство, не успев начаться, завершается с фразой Запуск не удался в силу неизвестной ошибки и ее код.
P.S. Нашел флэшку. Но результат оказался тем же плачевным. Не запускается средство. Зря только удалил информацию с флэшки, готовя ее.

Мы постепенно все дальше уходим от основной проблемы. Папка default мне нужна была только для того, чтобы создав нового пользователя войти от него и попробовать запустить им IE, может будет лучше. Хотя верится с трудом

[fuzzy]

А что у вас с форумом, куда пропали последние мои посты в этой теме и ваши ответ после сбоя и невозможности входа на сайт? Их было 38 шт. Восстановили старую копию?

[thyrex]

Восстановили старую копию?

Увы, именно так

[fuzzy]

Теперь бы восстановить или заменить хэлпера, а то решение буксует.

[Vvvyg]

Мне не приходили извещения об ответах.

Решение буксует отчасти из-за Вашей пытливости и самостоятельности. В чём-то это дало положительный результат, а вчём-то только добавило проблем. Точек восстановления нет, как я вижу. Попробуйте через файл User_IE_20160522-144932.reg откатить ситуацию с IE.