Вирус блокирует все сайты кроме google, яндекс.

**Benbow** · 10.07.2016, 01:36

Добрый день!
Вирус блокирует все сайты кроме google, яндекс.
Что увидел:
1. Модифицированный файл host(в нем были прописаны адреса ведущие на такие сайты как adobe.com)
2. вирус imageed.exe - trojan.startpage1.26866 - определил Cureit
Что было сделано:
1. компьютер полностью просканирован 4-мя утилитами, а именно - Dr.web antivirus, Anti-malwarebytes, avz, Dr.web cure it.
2. проводилось сканирование с помощью утилит hitmanpro, adwcleaner, KVRT.
Общее кол-во файлов определяемых как вирус - 7, а именно: imagecropresize.exe, imageed.exe, файлы с именем типа - RHGGVGW.exe(4 шт.), uninstaller.exe(imagecropresize).
Безрезультатно. Пинги проходят, трасировки тоже, сравнивал трасировки на компьютере с вирусом и на нормальном компьютере в той же сети - идентичны. Было подозрение на использование прокси, но настройки прокси не используются(смотрел в свойствах ie и в реестре).
ipconfig /flushdns делал. В качестве dns поставил 8.8.8.8. Откат системы делал. Удалял chrome и его профиль. Ставил standalone версию. Что-то все равно блокирует доступ. Помогите разобраться, пожалуйста. Логи avz и HijackThis прилагаю. Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.07.2016, 01:37

Уважаемый(ая) Benbow, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 10.07.2016, 07:27

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Benbow** · 10.07.2016, 15:15

Сделано. Логи в приложении.

**Benbow** · 11.07.2016, 14:08

Добрый день, есть ли новости по данной проблеме?

**Benbow** · 13.07.2016, 14:57

Добрый день, коллеги. Скажите мне стоит надеяться на ответ? Если ситуация не понятная, то так и скажите. Буду пытаться своими силами решить данную проблему.

**Sandor** · 13.07.2016, 15:47

Попробуйте временно отключить (или даже удалить) антивирус и проверьте.

**Benbow** · 13.07.2016, 17:50

Отключил все компоненты антивируса, результат тот же.

**Vvvyg** · 18.07.2016, 22:25

Ане антивирус ли блокирует? Проверьте.

**Benbow** · 18.07.2016, 22:36

Нет, точно не антивирус. Проверено.

**Vvvyg** · 18.07.2016, 22:40

Проблема только в Хроме?

**Benbow** · 18.07.2016, 22:59

Нет, на всех браузерах. В сети ничего не режет доступ, пинги проходят. По ip также не заходит.

**Vvvyg** · 19.07.2016, 07:31

Сообщение от Benbow

Нет, точно не антивирус. Проверено.

Надо или удалить полностью, или в безопасном режиме с поддержкой сети пробовать.

На роутере ничего не запрещено?

**Benbow** · 19.07.2016, 15:20

В безопасном режиме с поддержкой сети пробовал. На свитче раздается тот же влан что и на остальные компы в данной подсети. Переводил на статический ip, ставил настраивал другой влан на данном компе. Бесполезно. Это точно не антивирус и не сеть. Думал сначала, что вирус создал другой файл hosts и на него ссылается, но нет.

**Vvvyg** · 19.07.2016, 21:03

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Benbow** · 19.07.2016, 22:20

Сделано. Логи прилагаю.

**Vvvyg** · 19.07.2016, 22:56

Отключите до перезагрузки антивирус, закройте все браузеры и выполните скрипт в uVS:

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref HTTP://MAIL.RU/CNT/10445?GP=811013
delref %SystemDrive%\USERS\LOCALADM\APPDATA\LOCAL\TEMP\CHROME_BITS_5840_20350\92_ALL_STHSET.CRX
delref %SystemDrive%\USERS\LOCALADM\APPDATA\LOCAL\TEMP\{C0BC2728-6D20-404A-8BB5-CF77A222600C}-GOOGLEUPDATESETUP.EXE
winsockreset
deltmp
restart

Компьютер перезагрузится.

Если не антивирус, то в сети что-то блочит.

Вирус блокирует все сайты кроме google, яндекс. (заявка № 202038)

Опции темы