Wyskakujące powiadomienie NOD32 - unstopp.me/wpad.dat

[Elmidd]

Witam .Wyskakuje mi cały czas okienko "Adres został zablokowany" jakąkolwiek stronę nie otworzę a do tego od dzisiaj same włączają się reklamy. Podejrzewam ,że coś pobrałem "złośliwego ale nie mogę tego wykryć programami próbowałem ADW cleaner, Anti-rookit i nic , widziałem już podpięty taki problem na forum i myślałem ,że coś zdziałam sam z tamtymi informacjami ale nie dałem rady. A komunikat wygląda tak:

 

[picasso]

Temat przenoszę do właściwego działu leczenia infekcji, bo to infekcja (zmodyfikowane proxy AutoConfigURL). Proszę o dostarczenie raportów FRST + GMER wymaganych działem: KLIK.

[Elmidd]

Raporty FRST + GMER . Dodam jeszcze ,że do FRST jest jeszcze notatka "Addition" ją też dodać ?

FRST.txt

GMER.txt

Addition.txt

Shortcut.txt

[picasso]

Akcje do przeprowadzenia:

 

1. Odinstaluj stary Sophos Anti-Rootkit 1.5.4. Świeżo instalowany, ale to strasznie stara wersja. Obecnie Sophos ma nowsze narzędzie Sophos Virus Removal Tool.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {4B9F40FC-45B0-49E0-84C8-1BD87E2AABDD} - System32\Tasks\Driver Booster SkipUAC (Damian) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {93ADED5E-CDF1-4293-9BB7-8FB4CE908303} - System32\Tasks\{30949D3D-4D08-4629-99E1-8757C7732E6C} => C:\Program Files (x86)\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\Future Soldier.exe
HKU\S-1-5-21-8983453-3073617917-2459003304-1000\Software\Classes\.exe: => 
S3 cpuz134; \??\C:\Users\Damian\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
RemoveDirectory: C:\AdwCleaner
CMD: netsh advfirewall reset
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

 

 

PS. Odpowiadaj już w nowym poście, nie edytuj poprzedniego.

[Elmidd]

Potwierdzam ustąpienie problemu !   Dziękuję i całuję rączki !     . 

Fixlog.txt

FRST.txt

[picasso]

Wszystko gładko poszło. Jeszcze poprawki pod kątem odpadków po odinstalowanym Sophos. Otwórz Notatnik i wklej:

 

S3 MEMSWEEP2; C:\Windows\system32\4EFA.tmp [6144 2010-05-26] (Sophos Plc) [brak podpisu cyfrowego]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Sophos
CMD: del /q C:\Users\Damian\Desktop\gmer.exe
CMD: del /q C:\Windows\system32\*.tmp

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

[Elmidd]

A mogę się jeszcze dowiedzieć co to za ustrojstwo spowodowało te komunikaty z antywirusa ?

Fixlog.txt

[picasso]

A mogę się jeszcze dowiedzieć co to za ustrojstwo spowodowało te komunikaty z antywirusa ?

Jak mówiłam: "zmodyfikowane proxy AutoConfigURL", czyli ten wpis w FRST (usuwany w skrypcie poleceniem resetu proxy):

 

AutoConfigURL: [s-1-5-21-8983453-3073617917-2459003304-1000] => hxxp://unstopp.me/wpad.dat?88ef750010df781019f81794f8c0299e5010231

 

Przypuszczalnie ta modyfikacja weszła z jakimś "downloaderem" portalowym lub w instalatorze innego programu. Więcej na ten temat: KLIK.

 

 

Skrypt wykonany. Na koniec:

 

1. Usuń FRST z "Nowego folderu" na Pulpicie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do aktualizacji cały system, stan fatalny i blokada aktualizacji. Konieczna instalacja pakietu SP1, IE11 oraz reszty łat.

 

3. Na dalszą metę sugestia wymiany ESET. To stara wersja z komponentami z roku 2012.

[Elmidd]

1.Pobrałem i zastosowałem DelFix i po użyciu programu sam mi się usuną z pulpitu i wyświetliła się informacja w notatniku , tak miało być ?

2.A co do aktualizacji systemu ,wyłączyć blokadę aktualizacji i system już załatwi wszystko ?

[picasso]

1. Tak ma być. Program się samoczynnie usuwa i tworzy plik C:\delfix.txt z raportem akcji. Log ten można usunąć.

2. Mówiąc "blokada" miałam na myśli, że system bez zainstalowanego SP1 w ogóle nie otrzymuje żadnych aktualizacji. Musisz zainstalować SP1 i wszystkie inne aktualizacje z Windows Update.

[Elmidd]

Wymianę na jaki antywirus proponujesz ?

Czyli jeżeli wyłączę blokadę to system już sobie sam poradzi i pobierze to "oprogramowanie" czy ręcznie trzeba to robić ?

[picasso]

1. Nie sugeruję żadnej konkretnej marki, cokolwiek dobierzesz (darmowe lub komercyjne) z puli popularnych producentów będzie OK. Tu chodzi o to że posługujesz się starym programem sprzed 4 lat, co nie gwarantuje bezpieczeństwa.

2. Blokada sama zniknie, jeśli zainstalujesz pakiet SP1. Czyli uruchamiasz Windows Update, wyszukujesz aktualizacje, ładujesz wszystkie i ponawiasz operację aż do wyniku, że nie ma już nic do zainstalowania. Problem się pojawi wtedy, gdy się okaże, że Windows Update nie proponuje w ogóle SP1 do instalacji. I może tu być coś w tym rodzaju, bo stan Twoje Windows jest mocno podejrzany, zupełny brak aktualizacji.

[Elmidd]

Mam tego SP1  znalazłem na stronie Microsoftu tylko wolę się upewnić czy to jest aby na pewno to .O to chodziło mogę to śmiało pobrać ?

[picasso]

Ten instalator SP1 to ja przecież podaję też w przyklejonym: KLIK. Ale mówię przecież, że zacznij nie od ręcznej instalacji SP1, tylko od uruchomienia kopleksowego Windows Update z poziomu systemu, bo może brakować łat które są wymogiem do instalacji SP1.

[Elmidd]

Już mam SP1 ale tych aktualizacji jest od groma... i mam je wszystkie instalować? Aż nie będzie się wyświetlać żadna propozycja instalacji aktualizacji ? 

[picasso]

Tak, wszystko do instalacji, po każdej instalacji powtarzasz rundy z wyszukiwaniem. Może to długo trwać. Jest tak dużo do instalacji, gdyż system był golusieńki, w ogóle nie aktulizowany.

[Strzelczanin]

Droga @picasso co wskazuje na restart Firwalla

 

CMD: netsh advfirewall reset

[picasso]

Strzelczanin

 

To jest komenda czyszczenia reguł Zapory systemu Windows - patrz na powiązaną sekcję w FRST Addition i wpisy autoryzacji adware LuckyBrowse + SimpleFiles. Czasem zamiast usuwać "linia po linii" w rejestrze za pomocą FRST robię po prostu ogólny reset usuwający wszystkie niedomyślne wpisy (po w/w komendzie sekcja w FRST Addition jest zupełnie pusta), poprawne istniejące aplikacje ponownie się samoczynnie autoryzują.

 

 

Misiek87fm

 

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony w nowy temat: KLIK.

 

 

Tutaj temat rozwiązany. Zamykam.