Проблемы с выходом в интернет

**Настя777** · 19.12.2018, 22:43

Здравствуйте, уважаемые консультанты!
Помогите определить, что случилось с компьютером.
Проверила рекомендуемыми программами пишет угроз 0.

Проблема с выходом в интернет, с любого браузера.
С трудом загружается страница, потом вроде пару-тройку минут поработает
и опять минут 10-15 не загружает ничего.
Как будто б закрывается порт через который идет запрос в интернет.
Первое время помогал откат на определенную ноябрьскую дату.
Потом эта точка восстановления пропала и ничеготеперь не сделать.
Подозреваю, что Фаервокс как-то не так обновился.

Посмотрите, пожалуйста логи. Подскажите, как исправить.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.12.2018, 22:44

Уважаемый(ая) Настя777, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Настя777** · 19.12.2018, 22:47

Забыла написать, все остальные устройства подключенные к одной и той же точке, работают без перебоев с интернетом.

**Vvvyg** · 20.12.2018, 21:44

Древняя версия системы, без сервис-пака, и вообще не обновляется, похоже, отсюда и проблемы, нахватали то, что система без уязвимостей не пропустит.

Версия Windows: 6.1.7600, "Windows 7 Home Premium", дата инсталляции 27.12.2009

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 StopService('mssecsvc2.0');
 QuarantineFile('C:\ProgramData\kqtuhord254\tasksche.exe', '');
 QuarantineFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd', '');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\Winset\help.vbs', '');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\config\audiodg.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 QuarantineFileF('c:\programdata\kqtuhord254', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\kqtuhord254\tasksche.exe', '');
 DeleteFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd', '');
 DeleteFile('C:\Users\Админ\AppData\Roaming\Winset\help.vbs', '32');
 DeleteFile('C:\Users\Алла\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help.lnk');
 DeleteFile('c:\windows\mssecsvc.exe', '');
 DeleteFile('C:\Windows\SysWOW64\config\audiodg.exe', '');
 DeleteFile('C:\Windows\tasksche.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "McQcModifier-5c47-a7b0" /F', 0, 15000, true);
 DeleteService('AdobeFlashPlayer');
 DeleteService('kqtuhord254');
 DeleteService('mssecsvc2.0');
 DeleteFileMask('c:\programdata\kqtuhord254', '*', true);
 DeleteDirectory('c:\programdata\kqtuhord254');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

**Настя777** · 22.12.2018, 23:11

Спасибо, за ответ. Не получилось выполнить скрипт. Выдает ошибку.

- - - - -Добавлено - - - - -

И еще я не понимаю, как из автологера вытащить только AVZ ? Не удалось. Поэтому для выполнения скрипта воспользовалась старой версией этой утилиты. Так можно делать?

**Vvvyg** · 23.12.2018, 10:58

После запуска autologger в одноимённой папке будет папка AVZ, там avz.exe и находится. И скрипт копируйте целиком, включая завершающую точку.

**Настя777** · 23.12.2018, 19:04

Я не могу эту папку найти. После запуска автологера начинается его работа. А в архиве только файл ехе мне показывает.

**Vvvyg** · 23.12.2018, 22:08

Autologger Вы в первый раз запускали с рабочего стола:

Код:

c:\users\Алла\desktop\autologger.exe

Значит, на рабочем столе есть папка Autologger, а в ней - Avz.

**Настя777** · 25.12.2018, 19:21

Нашла. Прилагаю лог. Пока проблема не решилась.

Карантин не хочет загружаться. Выдает пустую страницу "мы не можем открыть этот сайт"

- - - - -Добавлено - - - - -

Файл с карантином ведь quarantine.zip ? В папке AVZ ?
Не грузится.

**Vvvyg** · 25.12.2018, 20:54

Проблемы с загрузкой карантина на форуме, загрузите его в доступное облачное хранилище или на файлообменник без капчи и рекламы и дайте ссылку в личном сообщении.

Проблему решить вряд ли получится без обновления системы, она у Вас без множества критических патчей и крайне уязвима, об этом я уже писал. Попробуем, тем не менее.

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 StopService('mssecsvc2.0');
 DeleteFile('C:\ProgramData\kqtuhord254\tasksche.exe', '64');
 DeleteFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd', '64');
 DeleteFile('c:\windows\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\config\audiodg.exe', '64');
 DeleteService('AdobeFlashPlayer');
 DeleteService('kqtuhord254');
 DeleteService('mssecsvc2.0');
 DeleteFileMask('c:\programdata\kqtuhord254', '*', true);
 DeleteDirectory('c:\programdata\kqtuhord254');
 DeleteSchedulerTask('McQcModifier-5c47-a7b0');
 ExecuteFile('sc.exe', 'config lanmanworkstation depend= bowser/mrxsmb20/nsi', 0, 15000, true);
 ExecuteFile('sc.exe', 'config mrxsmb10 start= disabled', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Настя777** · 27.12.2018, 01:49

Здравствуйте. Карантин я вам отправила, как просили в ЛС.
Я думаю, что решение моей проблемы где-то на поверхности. Т.к. компьютер в целом работает прекрасно. Быстро и без проблем. Проблема только с выходом в интернет, причем со всех браузеров.
Решалось восстановлением на точку 11 ноября, но после того, как она пропала, уже так просто не решить проблему. У меня сознательно отключены обновления, т.к. много раз из-за них что-нибудь слетало и приходилось делать откат. А сейчас "семерка" вроде как вообще не поддерживается.
Такое ощущение, что не смотря на запрет обновлений, Windows таки обновляет какие-то службы и что-то видимо теперь "конфликтует".
Когда у меня один браузер не выходит в интернет, тогда же и другой. Работают так же оба. Как будто какой то порт раз и отключился, потом включился...

**Vvvyg** · 27.12.2018, 06:58

Настя, у Вас в системе пытается работать шифровальщик WannaCry, который бушевал весной-летом прошлого года, и обновление, закрывающее уязвимость, через которую он распространяется выпущено Microsoft ещё в апреле 2017 года. Проблемы с браузерами, видимо, побочный эффект. Вам не откатывать систему нужно, а обновлять, срочно. Сперва до сервис-пак 1, а потом уже устанавливать все прочие обновления, включая то самое KB4012212, которое решит проблему.
Лог Farbar Recovery Scan Tool сделайте, как просил, чтобы понять, толк от лечения есть, или нет.

**Настя777** · 03.01.2019, 19:55

Здравствуйте. Извиняюсь, что долго не отвечала. Когда проблемы с выходом в интернет, это не так просто.Все приходится делать через флешку и другой компьютер.
Прикрепляю логи Farbar Recovery Scan Too

**Vvvyg** · 03.01.2019, 21:05

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-449212435-1592007324-2487678287-1000\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-449212435-1592007324-2487678287-1000\...\MountPoints2: {97be41d7-545d-11e8-8307-00016c722a31} - »ЄОЄКЦ»ъЦъКЦ°ІЧ°Птµј.exe
ShortcutTarget: McAfee Security Scan.lnk -> C:\Program Files (x86)\McAfee Security Scan\1.0.150\SSScheduler.exe (No File)
Startup: C:\Users\Алла\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help.lnk [2018-12-24]
ShortcutTarget: help.lnk -> C:\Users\Админ\AppData\Roaming\Winset\help.vbs (No File)
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-449212435-1592007324-2487678287-1000\User: Restriction <==== ATTENTION
Hosts: 0.0.0.1	mssplus.mcafee.com
Toolbar: HKU\S-1-5-21-449212435-1592007324-2487678287-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-449212435-1592007324-2487678287-1000 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
Toolbar: HKU\S-1-5-21-449212435-1592007324-2487678287-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
R2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe [2281472 2018-12-16] () [File not signed]
S2 AdobeFlashPlayer; C:\Windows\SysWOW64\config\audiodg.exe [X]
S2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe -m security [X]
2018-12-23 23:47 - 2018-12-23 23:47 - 000000000 ____H C:\Users\Алла\AppData\Local\BITC745.tmp
2018-12-23 23:43 - 2018-12-23 23:43 - 000000000 _____ C:\Users\Алла\AppData\Local\{A586EE48-1194-47D5-AC24-31058E0218F2}
2018-12-19 19:37 - 2018-12-19 19:37 - 007895040 _____ C:\Program Files (x86)\GUT4A59.tmp
2018-12-19 19:37 - 2018-12-19 19:37 - 000000000 ____D C:\Program Files (x86)\GUM4A58.tmp
2018-12-16 22:19 - 2018-12-16 22:19 - 002281472 ____S C:\Windows\mssecsvr.exe
2018-12-12 18:42 - 2018-12-18 22:38 - 002998272 _____ C:\Windows\s.wnry
2018-12-12 18:42 - 2018-12-16 19:20 - 000000000 ____D C:\Windows\msg
2018-12-12 18:40 - 2018-12-18 22:36 - 003514368 ____S (Microsoft Corporation) C:\Windows\tasksche.exe
Virustotal: C:\Windows\qeriuwjhrf
2018-12-12 18:40 - 2018-12-18 20:53 - 002061938 ____S C:\Windows\qeriuwjhrf
2018-12-12 18:40 - 2018-12-18 18:31 - 000000000 ___HD C:\ProgramData\kqtuhord254
2018-12-12 18:40 - 2018-12-12 18:40 - 003723264 _____ (Microsoft Corporation) C:\Windows\mssecsvc.bak
2018-12-27 00:52 - 2018-11-26 16:58 - 001283774 _____ C:\ProgramData\lsass2.exe
2018-11-08 22:35 - 2018-11-11 22:15 - 001283767 _____ () C:\ProgramData\lsass.exe
Task: {A645E678-222C-499B-BAAE-EEABF611A321} - System32\Tasks\Games\UpdateCheck_S-1-5-21-449212435-1592007324-2487678287-1000
Task: {DC5F2ABA-10A6-4419-8CE2-3186C3210813} - System32\Tasks\McQcModifier-5c47-a7b0 => C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd 
AlternateDataStreams: C:\ProgramData\Temp:0B9176C0 [121]
AlternateDataStreams: C:\ProgramData\Temp:1D32EC29 [135]
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [124]
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2 [132]
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F [138]
AlternateDataStreams: C:\ProgramData\Temp:93DE1838 [133]
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [146]
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE [246]
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D [130]
AlternateDataStreams: C:\ProgramData\Temp:E3C56885 [125]
HKU\S-1-5-21-449212435-1592007324-2487678287-1003\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
CMD: netsh winsock reset all
CMD: netsh int 6to4 reset all
CMD: netsh int ipv4 reset all
CMD: netsh int ipv6 reset all
CMD: netsh int httpstunnel reset all
CMD: netsh int isatap reset all
CMD: netsh int portproxy reset all
CMD: netsh int tcp reset all
CMD: netsh int teredo reset all
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол). При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

**Настя777** · 04.01.2019, 22:03

Спасибо! Попробую все сделать. У меня как таковой папки с Farbar Recovery Scan Tool нет. При скачивании я сохранила на рабочий стол, но там сразу значок появился при нажатии на который запускается программа. Мне сохранить файл (блокнот со скриптом) просто на рабочий стол? Или создать папку в которую поместить и Farbar Recovery Scan Tool и файл со скриптом?

**Vvvyg** · 04.01.2019, 22:41

Да, я и написал, на рабочий стол.

**Настя777** · 05.01.2019, 00:24

Все сделала. Проблема с интернетом решилась! Т.т.т, надеюсь. По крайней мере пока все чудесно работает! Спасибо огромное!!!

**Vvvyg** · 05.01.2019, 10:42

Рано радуетесь, от вирусов ещё не избавились.

Повторите процедуру, только FRST64.EXE нужно запускать под пользователем Админ!

**Настя777** · 10.01.2019, 23:30

Спасибо, Вадим. Я уж обрадовалась... Сделала все по новой, от имени администратора.
А почему показывает при проверках все время, что вирусов и угроз 0?
И еще хочу у вас спросить, я ведь пользовалась флешкой, когда проводила все эти процедуры с компьютером и плюс подключала внешний жесткий диск. Флешку еще и к другому к компьютеру подключала

. Теперь переживаю, на все эти устройства вирусы могли попасть или они только на диске С? И как это проверить?

**Vvvyg** · 11.01.2019, 06:58

Теперь должно быть чисто, но без обновлений будет рецидив, обязательно выполните рекомендации из сообщения #12.
Вирус был не из тех, что расползаются по всем дискам.
Антивирус McAfee лучше удалить вообще, толку от него чуть.
Затем сделайте новый лог FRST (от администратора!) и такой.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Проблемы с выходом в интернет (заявка № 221155)

Опции темы