Вирус блокирует доступ к adobe.com и некоторым другим сайтам

Здравствуйте. Вижу, что уже есть похожие темы, но у всех все "по-своему", поэтому обращаюсь к вам с собственной проблемой.

Вирус заблокировал доступ к adobe.com и некоторым сайтам с антивирусным ПО (но не ко всем). При этом adobe.com не пингуется ни по имени, ни по IP. Проверял - IP настоящий, не подмененный. Работаю в сети дома через WiFi-роутер. Проверил таблицу маршрутизации, файл hosts - там все в порядке. Почистил все временные файлы в системе, снес продукты Adobe (в том числе Flash Player, по вине которого, скорее всего, получил вирус). Стоит Avast, он ничего не нашел. Проверил утилитами от DrWeb, NOD, AVZ - найдено несколько подозрительных файлов, избавился от них, но не помогло. Утилиту от Касперского установить не удалось - ошибка 193.

Интересный факт. При проверке утилитой от DrWeb были найдены файлы вредоносного тулбара. Но физически я их на компьютере не видел, хотя отображение скрытых и системных файлов включено, естественно. Удалил всю папку - утилита больше не нашла их. Аналогично получилось и при онлайн-проверке утилитой HiJackFree, но в отличие от первого случая, он по-прежнему находит файл в корне C:\gendel32.exe, который я бесследно удалил до этого (возможно, находит где-то активную ссылку на него, не понимаю до конца этого обстоятельства).

Прикладываю логи сканирования. Прошу помочь разобраться с этой новой заразой...

Вложения

CollectionLog-2014.12.10-22.55.zip (102.2 Кб, 8 просмотров)

0

Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
   
   
   Code

   begin
    DelBHO('{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}');
    DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
    DelBHO('{D879895E-2124-4ED0-BDDF-F8F8BBC98A6F}');
    DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
    DelBHO('{00C6482D-C502-44C8-8409-FCE54AD9C208}');
    ExecuteRepair(4);
    ExecuteRepair(21);
    ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
    ExecuteWizard('SCU', 2, 2, true);
   RebootWindows(false);
   end.

   Компьютер перезагрузится.
   
   
   
2. Подготовьте лог сканирования AdwCleaner.

0

Добрый вечер.

Выполнил скрипт, почистил AdwCleaner. Проблема не устранена. Логи от клинера прикрепляю.

Вложения

	AdwCleaner[R0].txt (2.0 Кб, 3 просмотров)
	AdwCleaner[S0].txt (1.9 Кб, 3 просмотров)

0

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

0

Ок. Вечером повторю логи. Нашел в папке C:\\WINDOWS файл wininit.ini, в котором была сылка на вирус:

[RENAME]
nul = C:\gendel32.exe

Еще нашел подозрительный .ini там же с инициализацией прав доступа к SQL-базе данных и выборки записей из нее. Ну явно эта база не из моего компа...

Есть большая вероятность, что вирус проникает в ядро при загрузке оси...

0

Снес Аваст. Повторил сканирование.

Вложения

CollectionLog-2014.12.12-19.11.zip (44.4 Кб, 4 просмотров)

0

Ни чего подозрительного нет.
+
Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.(с доступом к интернету)
Когда появиться сообщение, что скрипт выполнен, файл diag.log из папки с AVZ выложите.

0

Выполнил, кодировка в файлах лога и txt не очень), поэтому выкладываю оба. Если это не вирус, тогда в чем может быть причина? На роутере запрета нет, т.к. другие компы дома доступ имеют, причина именно на моем ноуте.

Вложения

	diag.log (10.3 Кб, 6 просмотров)
	diag.txt (6.4 Кб, 7 просмотров)

0

Попробуйте в настройках вашего соединения прописать не гугловский ДНС, как прописано сейчас у вас(8.8.8.8), а поставьте получать его автоматически.
Перегрузитесь и проверьте.

0

Гугловский ДНС стоит в настройках LoopBack-а, это не соединение, это для тестирования прог на локальном компе я сделал. Мое соединение через WiFi-роутер, где все стоит нормально - получать IP-адрес автоматически, ДНС-сервер - адрес роутера 192.168.0.1. Иначе у меня вообще инет бы не работал...)

0

Тьфу-ты, петлю не заметил)))
Тогда попробуйте зайти на адобовский сайт со своего компа, но подключившись к другому провайдеру.
Возможно еще блокируется каким то легальным софтом. Попробуйте отключить весь антивирусный софт, я заметил у вас и ESET и McAfee.

0

Все антивирусы, что вы заметили - это только онлайн утилиты сканирования, постоянно действующие файерволы и антивирусы я снес, все процессы - это только процессы винды и приложений автозапуска + драйверы + вирусы, если последние имеются, хотя ни один сканер пока ничего не выловил...

Попробую переустановить драйверы устройст, по крайней мере, сетевых. Посмотрим, что получится. Подключиться к другому провайдеру у меня пока нет возможности...

0

+
Подготовьте лог MBAM. Во время обновления откажитесь от загрузки и установки новой версии.

0

переустановка драйверов не помогла. Лог MBAM прилагаю, хотя он тоже ничего особого не нашел.

Вложения

logmmam.txt (2.1 Кб, 3 просмотров)

0

C:\Program Files\LouderIt\LConfig.exe

Проверьте этот файл и ссылку на результат покажите.

0

Угу, очень странно, что программа управления громкостью была опознана как троян)... вечером проверю. Но уже чет надоела эта безнадега - 2 недели без результатов, снес половину прог, теперь уже проще просто форматнуть и переустановить винду). Чисто спортивный интерес и неудовлетворенность остались...

А так, HiJackFree больше всего ругался на системный монитор cftmon.exe. Там 13 вирусов-троянов-угроз в нем, типа, у меня. Я отправлял подозрительные файлы на экспертизу - так ответ и не получил). Если системный монитор заражен, а ни один антивирусник его не обнаруживает и вылечить не может - надо переустанавливать винду, это мое мнение, или тупо попытаться заменить этот файл, хотя результат может быть плачевным.

Добавлено через 12 часов 11 минут
Проверил все подозрительные файлы там. На каждый пишет, что уже проверялись ранее - вирусов там не найдено. Так что даже не знаю, что блокирует доступ, но явных вирусов в системе не обнаружено...

Добавлено через 4 минуты
http://analyze.hijackfree.com/... f8a9a1ebdc

все эти файлы вирустотал считает нормальными

0

Сообщение от shestale Проверьте этот файл и ссылку на результат покажите.

???
+
Попробуйте эти рекомендации, проверяя доступ к ресурсу после каждого из них:
1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Компьютер перезагрузится.

2. Попробуйте создать другую учетную запись администратора и проверьте доступ к ресурсу из под нее.

3. Попробуйте зайти на недоступный ресурс через анонимайзер или прокси.

0

файл LConfig.exe отсутсвует, есть тока LConfig.ini
https://www.virustotal.com/ru/... /analysis/

Добавлено через 36 минут
Скрипт выполнил, ничего не изменилось
Попробовал под другой учетной записью админа - то же самое, только программа работы с сенсорной панелью не смогла там загрузиться, выдала ошибку выполнения.
Через анонимайзер на сайт adobe.com заходит. НО! При попытке установить Flash Player кнопка "установить сейчас" исчезает со страницы, прям наглядно видно. Тоже самое с любым другим бесплатным продуктом.

0

Сообщение от Шенец Николай Через анонимайзер на сайт adobe.com заходит

Тогда вероятно доступ вам туда заблокирован по диапазону IP адресов - на том ресурсе (из за спама или ещё чего-нибудь).

0

Если бы это было так, ток с других компов из моей подсети, созданной моим роутером, скорее всего тоже не было бы доступа, а он есть...

Короче, буду переустанавливать винду. Если меня adobe заблочил, то это в любом случае из-за вирусов. А вот как разблокировать? Разве что попробовать прописать на роуте другой IP для моего ноута и связать по MAC-адресу.

0