Переадресация через http://cwu.thunderyswinger.com/ на левые сайты + нельзя зайти на сайт vk.com

**Ab_ris** · 01.10.2016, 02:55

Доброго времени суток.
Два месяца назад столкнулся с проблемой: перед запуском ОС Windows я заметил установку чего-то из под биоса (абра-кадабра, где-то 30...60 сек). Подумал, какое-то обновление Windows. Половину дня работал за компом, потом оставил в спящем режиме. Этим же вечером выключил ПК, а он сразу же включился. Я подумал, что нажал случайно на перезагрузку, и повторил выключение снова. И комп опять включился (сразу). Потом еще пару раз, потом еще раз с перерывом в 3...5 минут после выключения. Пришлось вытягивать шнур питания.
После этих событий при клике на любом месте часто посещаемых мной сайтов происходила переадресация через http://cwu.thunderyswinger.com/ на левые сайты (рекламные, казино, microsoft... и т.п). Указанный выше адрес я засек, запустив браузер (использую Internet Explorer 11) без надстроек: после клика в адресной строке было http://cwu.thunderyswinger.com/ и всякая абра-кадабра.
Сперва подумал, малварь. Заметил подмену DNS с автоматических на эти:
193 . 0 . 201 . 201
91 . 109 . 206 . 194
98 . 158 . 96 . 96
Установил Malwarebytes Anti-Malware и CCleaner Free v5.20.5668 (64-bit), просканировал и почистил ПК этими программами. Перезагрузил роутер, сменил имя пользователя и поставил пароль (до этого были по-умолчанию). Проблема с питанием исчезла, с переадресацией не помогло. От переадресации избавился, спустя месяц, сбросом настроек браузера (вышло случайно). Но после этого не могу заходить на сайт http://vk.com/ с этого ПК, в то же время с телефона и других ПК захожу без проблем. Пробовал восстановить пароль - не помогает.
При авторизации на сайте http://vk.com/ средства разработчика Internet Explorer (F12) на консоли показывают следующее:
* HTML1300: Произошел переход
Файл: login
* HTML1504: Непредвиденный закрывающий тег.
Файл: login, строка: 78, столбец: 76
* HTML1504: Непредвиденный закрывающий тег.
Файл: login, строка: 78, столбец: 161
а я остаюсь на той же страничке, поля "телефон или имейл" и "пароль" - пустые.
Помогите, пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.10.2016, 02:56

Уважаемый(ая) Ab_ris, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 02.10.2016, 10:21

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Ab_ris** · 03.10.2016, 01:21

Просканировал. Логи прилагаю.

**Vvvyg** · 03.10.2016, 07:39

Какие настройки DNS в роутере?

Групповые политики сами устанавливали? Компьютер в домене?

**Ab_ris** · 03.10.2016, 12:57

1. Настройки DNS в роутере - динамические.
2. Групповые политики не устанавливал. Когда настраивал сеть (на два ПК и принтеры) - менял только "дополнительные параметры общего доступа", и отдельно ставил доступ к некоторым дискам, которые не открывались. Но это все я делал 2-3 недели назад.
3. ПК не в домене, является членом рабочей группы WORKGROUP.

**Vvvyg** · 03.10.2016, 19:56

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-08-15 12:13 - 2016-09-24 15:00 - 00000000 ____D C:\ProgramData\ProductData
2016-08-15 12:13 - 2016-08-15 12:13 - 00000000 ____D C:\windows\Tasks\ImCleanDisabled
2016-08-15 12:12 - 2016-08-15 12:24 - 00000000 ____D C:\Users\Роман\AppData\Local\Hostinstaller
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Ab_ris** · 03.10.2016, 22:19

Профиксил. Лог прилагаю.
В контакт заходит. Спасибо!
Что за папка на рабочем столе появилась "FRST-OlderVersion"?

**Vvvyg** · 03.10.2016, 22:28

Предыдущая версия FRST, можете удалить, вместе с C:\FRST.
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 101.

Выполните рекомендации после лечения.

Переадресация через http://cwu.thunderyswinger.com/ на левые сайты + нельзя зайти на сайт vk.com (заявка № 204432)

Опции темы