Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

Пострадавшим от фишинговых страниц Сбербанк-Онлайн (заявка № 200714)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7

    Пострадавшим от фишинговых страниц Сбербанк-Онлайн

    Добрый день!
    Сразу хочу оговориться и извиниться, я не успел прочитать правила подготовки новой темы и выполнил запуск AVZ с опцией “Выполнять лечение-Спросить у пол-ля». Правда никаких интерактивных вопросов в ходе проверки не последовало. Поэтому запуск по рекомендуемому вами скрипту оказался вторичным и лог, очевидно, не будет содержать ранее найденного. Прошу прошения, но именно поэтому для начала прилагаю не только 2 требуемых файла (система 64 бита), но и предыдущий файл лога AVZ с нестандартным именем, иначе картина будет неясной. Далее, хотел как можно более подробно описать в скриншотах ситуацию, но нельзя, очевидно. Может, после запросите…Тогда пока словесное описание:
    Есть ноут Windows 10 64bit с IE11 и Chrome и десктоп с WinXP и FF, оба выходят попеременно через одно и тоже ADSL инет-соединение МГТС. На ноуте рабочая учетка с правами админа, но не встроенного аккаунта админа. Сразу скажу, на компьютере проблема не замечена. Проблемный – ноут, он используется для информационных, новостных целей, безобидной с виду игры, а также Сбербанк-онлайн(частота захода раз в месяц), по развлекательным сайтам не ходит, правда обменивается флэшкой с десктопом. На сотовом телефоне не установлено ни какого мобильного клиент-банка. Как таковых антивирусов, FW не было установлено ни где.
    Внезапно однажды войдя на привычную страницу входа в сбербанк-онлайн, как всегда последовало СМС от банка с номера 900 с одноразовым кодом, а после входа такое же привычное уведомление СМС о факте входа, но увидел непривычную картину в виде подмененной страницы (кстати, именно такой. как я выяснил позже, нет на странице предупреждения Сбера).<скрин предполагается>
    Я на тот момент не знал, что даже на сайте сбера есть описание фишинговых страниц и что такое существует в принципе, но подумал, что это некое нововведение и ввел 3 цифры номера. <скрин предполагается>
    Тут уже подозрение резко переросло в тревогу, я разорвал соединение, ничего не продолжал, снял все эти картинки, а позже закрыл крестиком окно. Не описываю последовавшие блокировки карты и мобильного банка. Скажу только, что на проблемном ноуте сразу было установлено антивирусное ПО Касперского Free, в самых тяжелых настройках был пройдено сканирование, включая поиск возможных руткитов. Результат отрицательный, заражений нет. В ОС дополнительно включил нативный Firewall, уровень безопасности в IE выставлен Выше среднего. Плагин Касперского для проверки ssl-сертификатов включен как в iE, так и в FF.
    Тем не менее, уже после перевыпуска новой карты, а также связанного с этим получения новых аутентификационных данных для сб-онлайн я вновь попытался зайти с этого ноута в систему. Значок ssl-сайта был зеленым, сертификат банка проверен Касперским (это возникло от внедренного плагина?) и подтвержден. Тем не менее, в следующих попытках входа он выглядел как в аттаче (а ведь легитимный сайт сбера защищен вроде Thawte и период действия сертификата не тот), тут пример недоступности страницы регистрации по нажатию одноименной кнопки фишингового сайта.<скрин предполагается>
    Снял исходный код страницы, url которой всегда выглядит вот так:
    https://online.sberbank.ru/PhizIC/co...44746fd059a536
    или так https://online.sberbank.ru/PhizIC/co...bf06acd967de3a
    Первый вариант при заходе Firefox, второй IE. Сам исходный код файла way4.do, если интересно, готов приложить.

    Важный нюанс. С использованием того же провайдера, но на компьютере, который также был протестирован на предмет вирусов тем же бесплатным антивирусом и также ничего не было найдено, в т.ч. и AutoConfigURL, был сделан удачный пробный заход с новыми аутентф. данными через FF в личный кабинет сб-онлайн. Все было удачно, без фишинговых страниц. Причем тексты пар СМС, соответствующие успешному входу и неуспешному (на зараженном ноуте) полностью идентичны, за исключением собственно паролей, конечно.

    ТЕПЕРЬ о ТОМ, ЧТО СДЕЛАНО до прочтения правил, ибо сам форум был найден позже.
    Прогнал AVZ 4.46, предварительно сделав из меню Файл-Резервное копирование снимок до лечения на всякий случай. Лог приложил бы, да нельзя пока. Из серьезного, как мне кажется , он нашел заполненный каким-то piterame.com AutoConfigURL в текущем аккаунте и удалил его. НО!! Он так излечил мне систему, что, во-первых, собственно проблема все равно осталась в FF, а вот IE вообще не открывает никакую страницу в инете: вводишь абсолютно любой url и ноль реакции ,никаких шибок на экране. Рядом живущий FF все открывает. Может восстановить файл User_iE_<дата>.reg или откатить еще как-то?

    Прогнал также hijack, ничего не фикся , лог прилагаю.

    Файл хостов содержал единственную незакоменченную запись со 127,0,0,1 unusualperson.com, но дата модификации файла старая, гораздо до возникновения проблемы, но на всякий случай закоментарил и её.
    Что изменилось при входе единственно работающего на зараженном ноуте браузера FF после лечения AVZ? Это то, что не поступает второго СМС от банка о факте успешного входа, как было ранее…

    Пожалуйста, жду вашей помощи, какие шаги предпринимать далее?!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) fuzzy, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Спасибо за скорый отклик!
    Что характерно, я точно смотрел ,что ни в ветке HKCU, ни в ветке соответствующего пользователя {......} не было ключа AutoConfigURL. И даже при его отсутствии проблема сохранялась, и IE к тому же не работал вообще. Прогон FRST вновь выявил гадость. Ну, убрал...
    p.s. извините, не вижу , как в быстром, а не расширенном режиме ответа прикреплять Требуемые файлы?
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Цитата Сообщение от fuzzy Посмотреть сообщение
    Прогон FRST вновь выявил гадость. Ну, убрал...
    Давайте, раз уж сюда пришли - без самодеятельности.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    CHR HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    AutoConfigURL: [S-1-5-21-1422821301-2940809417-614508225-1000] => hxxp://piterame.com/OlShm96a/9CnD2w.euk
    SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
    SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
    2016-03-16 20:26 - 2016-03-16 20:26 - 0000000 ____H () C:\Users\fuzzy\AppData\Local\BIT2BC3.tmp
    2016-03-22 21:41 - 2016-03-22 21:41 - 0000000 ____H () C:\Users\fuzzy\AppData\Local\BIT4649.tmp
    2016-03-20 22:34 - 2016-03-20 22:34 - 0000000 ____H () C:\Users\fuzzy\AppData\Local\BIT6F76.tmp
    2016-03-17 20:56 - 2016-03-17 20:56 - 0000000 ____H () C:\Users\fuzzy\AppData\Local\BIT78EC.tmp
    2016-03-24 14:56 - 2016-03-24 14:56 - 0000000 ____H () C:\Users\fuzzy\AppData\Local\BITE177.tmp
    2016-03-19 17:14 - 2016-03-19 17:14 - 0000000 ____H () C:\Users\fuzzy\AppData\Local\BITFEF1.tmp
    2016-03-16 20:26 - 2016-03-16 20:26 - 0000000 _____ () C:\Users\fuzzy\AppData\Local\{344E39FE-4C55-4FF2-B0CC-FF36DBBC8C8C}
    2016-03-22 21:41 - 2016-03-22 21:41 - 0000000 _____ () C:\Users\fuzzy\AppData\Local\{4D58A920-D11A-48A2-B641-5AFEAC13F1E8}
    2016-03-19 17:14 - 2016-03-19 17:14 - 0000000 _____ () C:\Users\fuzzy\AppData\Local\{5D3910DD-FFBF-427D-9A3D-9A3E388263F3}
    2016-03-17 20:56 - 2016-03-17 20:56 - 0000000 _____ () C:\Users\fuzzy\AppData\Local\{991206CF-652C-4C91-BDF4-9109547D529A}
    2016-03-24 14:56 - 2016-03-24 14:56 - 0000000 _____ () C:\Users\fuzzy\AppData\Local\{B9108BB6-C0FA-4A80-96AE-B4E49041DE1F}
    2016-03-20 22:34 - 2016-03-20 22:34 - 0000000 _____ () C:\Users\fuzzy\AppData\Local\{EDD4FCD4-F125-40F5-B1DA-9F88A63A4161}
    Task: {148026BC-1C83-49C5-B753-960E54A18A23} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {3B8D2F98-C10D-4B20-A931-CDA7D5EB8CE6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {3E07D359-705A-4E20-88B9-DD302D4AFC3B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {444D0256-617D-4871-BB24-4AE5F1666091} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {4801B3A6-8C9F-4253-A8A8-3C79F2BCA7D1} - \MirageAgent -> No File <==== ATTENTION
    Task: {52A0A49B-2FBB-4B59-AC10-45AE8001ECCB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {57335379-F59B-44EC-AEC0-69E4D15FF5A3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
    Task: {75420599-2492-4B8D-95B0-0216AC2293F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {C19263C8-8F71-4A80-B456-A4810D9A4140} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {D22AA53F-C067-4D9B-8C6F-89D4AEBD7DF9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {FA55A13F-0E2C-4B9A-BB79-03E8ABAEB246} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Temp:10D14739 [216]
    AlternateDataStreams: C:\ProgramData\Temp:6EB5A6F9 [228]
    RemoveProxy:
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.

    Цитата Сообщение от fuzzy Посмотреть сообщение
    p.s. извините, не вижу , как в быстром, а не расширенном режиме ответа прикреплять Требуемые файлы?
    Никак.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7

    Результат исполнения

    1. Браузер IE по-прежнему не открывает ни один сайт
    2. в HKCU и HKEY_users вновь прописаны http://piterame.com/OlShm96a/9CnD2w.euk, именно Http, а не hxxp, т.е. HKU\S-1-5-21-1422821301-2940809417-614508225-1000\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\\AutoConfigURL
    3. лог прикладываю
    4. по-прежнему существует непустой:
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Internet Settings\Connections\\DefaultConnectionSettings
    5. на месте удаляемого HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Connections\\DefaultConnectionSettings присутствует странное и заполненное двоичным значением имя некоего параметра в виде 3х ромбиков со знаками вопроса внутри
    6. HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Connections\\SavedLegacySettings благополучно осталось нетронутым
    7. HKLM\Software\WOW6432Node\Microsoft\Windows\Curren tVersion\Run\\ - Что именно удалялось, не ясно. Но по факту сейчас там есть ключи от HP, Java и ATI.

    Как вы смотрите вот на такое с точки зрения доп. шагов по удалению в safemode не только Autoconfigurl, но и параметра ProxyEnable и ProxyServer (у меня его нет), и снятие автоопределение настроек в свойствах подключения IE:
    https://www.youtube.com/watch?v=5cxc9zuMi1g
    Вложения Вложения
    Последний раз редактировалось fuzzy; 23.05.2016 в 12:42.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Цитата Сообщение от fuzzy Посмотреть сообщение
    Как вы смотрите вот на такое с точки зрения доп. шагов по удалению в safemode не только Autoconfigurl, но и параметра ProxyEnable и ProxyServer (у меня его нет), и снятие автоопределение настроек в свойствах подключения IE:
    Думаю, простое обновление не поможет.

    Компьютер в домене? Какие-либо групповые политики установлены? Если нет -примените такой fixlist.txt:
    Код:
    GroupPolicyScripts: Restriction <======= ATTENTION
    GroupPolicyScripts\User: Restriction <======= ATTENTION
    RemoveProxy:
    EmptyTemp:
    Reboot:
    Прикрепите новый Fixlog.txt и сообщите результат.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7

    Промежуточный результат

    Что Вы имели в виду под обновлением? Каким? В ролике вроде бы ничего про это, только про совет удалять ключи ProxyEnable и ProxyServer. Я про них и спросил.

    Домашний компьютер не в домене, какие-либо групповые политики специально мной не устанавливались, поэтому выполнил Ваш новый фикс. Перегруз. Сразу в реестр, но там вновь сидит AutoconfigURL в 2х местах, видимо никак не мувится фиксом...
    Далее обрадовался - IE однократно после установления инет-соединения вышел на сайт, наобум взятый из избранного. Но рано, через несколько секунд уже не захотел ничего открывать.
    В общем все по-прежнему. Дело серьезное? Другие советуемые на форуме в схожих ветках фишинга утилиты не помогут?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Запустил, прилагаю. Утилита с обширным функционалом, но до указаний ничего не делаю. Жду
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v385c
    delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/LPEEAGHDJMHLAKOJJCGFDHGCEJDAEFMI
    delref HTTP://PITERAME.COM/OLSHM96A/9CND2W.EUK
    delref %SystemDrive%\PROGRAM FILES (X86)\WILDTANGENT GAMES\APP\BROWSERINTEGRATION\REGISTERED\0\WTAPP_PRESENCEDETECTOR.DLL
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_31\BIN\WSDETECT.DLL
    delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
    deltmp
    restart
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Сообщите, что с параметром AutoconfigURL,
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Autoconfig Url нет ни в одном из 2х мест в реестре уже спустя 5 мин после загрузки.
    Но проблема с не открытием IE любого сайта остается.
    Новое же то, что теперь в Chrome при входе по одноименной кнопке в Сбербанк-онлайн сам браузер пишет, что соединение не секьюрно, что ssl-сертификат недействительный, вижу ,что issuer неверный, и https в адресной строке перечеркнут. Кроме того, как и ранее кнопка Регистрация рядом со входом сбера ведет якобы на несуществующую страницу. Всего этого безобразия нет на действительном сайте Сбербанка.
    Что делать далее?
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Не помогает, ситуация никак не изменилась по отношению к каждому браузеру. Намеренно ввожу сайты, на которых ранее вообще не бывал никогда. Мне кажется, в отношении IE стал какой-то глобальный запрет в настройках Windows.
    И фишинг несмотря на отсутствие удаленной причины не побежден.
    Может еще CCleaner прогнать дополнительно?
    Ранее ,еще перед началом обращения на форум я предварительно перед лечением AVZ сделал бэкап текущего состояния. На тот момент IE был хотя бы рабочим в части открытия сайтов. Бэкап состоит из нескольких .reg файлов, в частности из User_IE_20160522-144932.reg. Целесообразно восстановить его полностью или можно прислать вначале для анализа? Только вот даже маленький не прикрепляется, у меня достигнут какой-то лимит...
    Последний раз редактировалось fuzzy; 24.05.2016 в 00:41.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Упакуйте .reg файлы в архив, не влезет - загрузите его на rghost.ru и дайте ссылку.
    Попробуйте Сброс настроек браузера Chrome и Инструмент очистки Chrome.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Плохая новость. Сегодня загрузился, вновь AutoconfigUrl в 2х местах.
    Действительно существует лимит кол-ва закачанных файлов или ограничение по общему их размеру от одного пользователя? Нельзя ли мне удалить часть из них как Вами уже просмотренных?
    Залил на rghost.ru ( http://rgho.st/8yFhP88bg ), время хранения файла архива со всеми сделанными avz reg-файлами предварительного бэкапа 5 дней.
    Также залил http://rgho.st/8S4jdBtxF всю ветку Internet Settings реестра, вдруг какие-то еще ключи там дадут наводку...
    Инструмент очистки хрома написал "Ничего не найдено" и в конце также предложил сделать сброс своих настроек ,что я уже делал.
    И еще, по форуму сайта. Каков период таймаута бездействия после залогинивания на форум и в процессе написания и подготовки сообщения? Такое ощущение, что он катастрофически мал, постоянно в процессе подготовки Вам сообщения натыкаюсь на отсутствие прав дальнейшего редактирования или сохранения, приходится logoff/logon на форум.

    - - - - -Добавлено - - - - -

    Я не прекращаю попыток бороться с этой заразой, но я уже нервничаю.
    Дополнительная информация. Новые файлы залил http://rgho.st/8LYWgCj4L
    Это найдено проверкой реестра из-под AVZ.
    Уже позже натолкнулся на такую же проблему у иностранцев (с выявленными мною тоже ключами), которые и реанимируют гадость при каждой новой загрузке.
    Забэкапил подозрительное и удалил. Службу "Вспомогательная служба IP", ответственную за iphlpsvc, остановил и запретил. Без нее Интернет на IPv4 работает, в т.ч. на https, но почему-то не на все сайты. Например, сотовый оператор МТС и некий банк в ЛК дают зеленый ssl-сертификат, а вот Сбер и ВТБ - предупреждение системы безопасности.
    iphlpsvc-Proxymgr.reg это тот кусок реестра, который пока остался вместе с CLSID-ами в HKLM.
    Перегрузился. Опять autoconfigurl везде!!!!
    Тогда забэкапил на всякий случай подветку ProxyMgr и удалил под корень эти 2 CLSID-а в HKLM, возможно и они причина возрождения.
    Перегрузился. Реестр пока везде чист. НО!!! По-прежнему не могу открыть IE ничего, а Chrome натыкается на незащищенную страницу Сбера.
    Я в отчаянии.

    - - - - -Добавлено - - - - -

    Правильно ли я понял ,что общение по данной теме закончено со вашей стороны?
    Последний раз редактировалось fuzzy; 24.05.2016 в 11:53.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Цитата Сообщение от fuzzy Посмотреть сообщение
    Правильно ли я понял ,что общение по данной теме закончено со вашей стороны?
    Нет. Просто нет возможности круглосуточно отслеживать тему.
    Info_bot выше дал ссылку на вариант привилегированной помощи.

    Бэкапы реестра посмотрю, пока проверьтесь утилитой CapperKiller.
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Проверил, 0 угроз. Скоро перепробую все ваши утилиты
    По поводу плюсового сервиса ,я уже туда писал через форму, до сих пор нет ответа. Вопрос был, как понимать отсутствие среди списка поддерживаемых платформ Windows 10?
    Последний раз редактировалось fuzzy; 24.05.2016 в 20:09.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,847
    Вес репутации
    842
    Просто упустили, дополним.

    Попробуем добить гада.

    Примените такой fixlist.txt в Farbar Recovery Scan Tool:
    Код:
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{9D3582F4-9CB6-4BC1-8726-22151DF60114}]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{E430A06E-9C61-4983-9953-003C140F2A05}]
    RemoveProxy:
    EmptyTemp:
    Reboot:
    После перезагрузки - новый Fixlog.txt приложите и результат сообщите.
    WBR,
    Vadim

  21. #20
    Junior Member Репутация
    Регистрация
    22.05.2016
    Сообщений
    20
    Вес репутации
    7
    Я могу сделать, но я фактически уже удалил ,как писал выше,в реестре эти 2 классида как из CCS, так и из копии CS001. И перегружался. Твари больше нигде в реестре нет, но и результата работоспособности тоже, ибо видимое проявление заразы осталось прежним ,точно также как и мертвость IE!
    Все-таки пробовать через FRST?

Страница 1 из 2 12 Последняя

Похожие темы

  1. подмена сайта сбербанк онлайн
    От mint52 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 03.09.2014, 19:55
  2. Вирус Сбербанк Онлайн
    От Koksohim в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 06.08.2014, 10:36
  3. Проблемы с сертификатом безопасности сбербанк онлайн
    От Николай Хромов в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 07.10.2013, 10:46
  4. Ответов: 6
    Последнее сообщение: 24.04.2013, 14:25
  5. Поддельный сайт Сбербанк-онлайн
    От Rogoff в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 13.12.2012, 19:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00897 seconds with 17 queries