Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Что-то блокирует порт назначения 8443 (http://forum.oszone.net/showthread.php?t=342552)

__sa__nya 16-10-2019 08:11 2892248
Что-то блокирует порт назначения 8443
 
Доброе время суток. Имеется компьютер Win 7 домашняя расширенная SP1. Проблема: есть интернет-ресурс на порту 8443. Компьютер не может получить доступ к ресурсу, т.к. этот порт на нем блокируется ( на компьютере). Проверял telnet'ом. На других компьютерах при доступе к тому же ресурсу из той же сети все ОК.
Что проверял:
- отключал брандмауэр
- менял интернет-провайдера, сетевую карту
- проверял на вирусы DRWeb'ом и Касперским. DRWeb нашел какого-то трояна в виде dll-ки, Касперский ничего не нашел, но все равно порт заблокирован. Логи. Может кто-нибудь глянуть ?

Sandor 16-10-2019 11:41 2892278
Здравствуйте!

Логи прикрепляйте к сообщению через "скрепку", пожалуйста.

"Пофиксите" в HijackThis:
Код:
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/09/16) - {b21f8a54-e3a3-412a-8175-f95a40123c78} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Norton Security Scan for User - C:\PROGRA~2\NORTON~2\Engine\462~1.17\Nss.exe /scan-quick /scheduled (file missing)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

__sa__nya 16-10-2019 11:52 2892281
Цитата:
Цитата Sandor
Логи прикрепляйте к сообщению через "скрепку", пожалуйста. »
На OsZone место крайне ограничено, поэтому через сторонний обменник.
Счас сделаю, отпишу дополнительно по новым логам.

Sandor 16-10-2019 12:17 2892289
Утилиту используйте из папки Автологера
Цитата:
D:\install\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe

__sa__nya 16-10-2019 12:29 2892292
Вложений: 1
Sandor, После того как в HiJackthis пофиксил вышеуказанные пункты, проблема решилась. Новые логи во вложении.

PS: теперь всегда буду при подобных проблемах смотреть в HiJackThis результаты сканирования.

Sandor 16-10-2019 12:32 2892295
Тем не менее, давайте продолжим.

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • Предустановленное ПО - на ваше усмотрение. Можно не карантинить.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

__sa__nya 16-10-2019 13:09 2892312
Вложений: 1
Sandor, Sandor, лог AdwCleaner прикреплен в моем предыдущем посте, вместе с логами Autologger'а
Лог FRST прикреплен .
Sandor, спасибо за помощь.

Sandor 16-10-2019 13:18 2892314
Цитата:
Цитата __sa__nya
лог AdwCleaner прикреплен в моем предыдущем посте »
Я его видел (это был лог сканирования S) и на его основании дал рекомендацию, после которой должен получиться лог очистки (символ C).
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-3032384914-24499812-2675010803-1000\...\MountPoints2: F - F:\SISetup.exe
    HKU\S-1-5-21-3032384914-24499812-2675010803-1000\...\MountPoints2: {a913af49-a332-11e5-9c40-806e6f6e6963} - E:\Bin\ASSETUP.exe
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {04AAD96A-314E-47A8-B611-07E21753E4A2} - System32\Tasks\Norton Security Scan for User => C:\PROGRA~2\NORTON~2\Engine\462~1.17\Nss.exe
    Toolbar: HKU\S-1-5-21-3032384914-24499812-2675010803-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    Toolbar: HKU\S-1-5-21-3032384914-24499812-2675010803-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    FirewallRules: [{075A0D3C-79D9-4192-BD28-E4CC5534D231}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
    FirewallRules: [{B21FB618-8121-478E-AA6F-CE0592DEBDA8}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
    FirewallRules: [{9661F9FE-C6B6-4962-BBFE-7C556B213F80}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
    FirewallRules: [{2F98A70D-8425-425B-AC4E-DB78683F250C}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
    FirewallRules: [{6C8AE144-338A-4974-BF95-BBBA3103302C}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
    FirewallRules: [{3AB1FB67-7E94-4B1B-9078-F1F3DB81DE80}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\MxUp.exe No File
    FirewallRules: [{D7B6886F-9EF4-4A3E-8145-508CEEB3335B}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
    FirewallRules: [{39A7136E-E085-43EB-BFD2-96A41B52D37E}] => (Allow) C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe No File
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

__sa__nya 16-10-2019 14:28 2892333
Вложений: 1
Sandor, fixlog во вложении.
Интересно то, что по сути это был не вирус, а блокировка политикой IPSec, а я на нее даже не смотрел. У меня почему-то в памяти осело что IPSec в WIn 7 Prof и Ent.

Sandor 16-10-2019 14:32 2892336
Хорошо, в завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

__sa__nya 16-10-2019 19:30 2892383
Sandor, уже не сделаю - комп недоступен.

Sandor 16-10-2019 19:33 2892384
Жаль. Передайте тогда владельцу на будущее - Рекомендации после лечения.


Время: 07:41.

Время: 07:41.
© OSzone.net 2001-