Problem z dostępem do internetu - coś blokuje dostęp

[Zulmar]

Witam

Dostałem do oczyszczenia laptop i mam nie lada problem z jego całkowitym wyczyszczeniem.

Wyrzuciłem śmieciowe programy i rozszerzenia. Skan Essentialem, AVG. Czyszczenie CCleaner, ADWcleaner. Potem czyszczenie OTL i ComboFix.

Niby wszystko czyste, połączenie z siecią jest (przez LAN też) a strony internetowe nie odpowiadają.

Aktualizowałem sterowniki i nic.

Ostatecznie chciałem przeinstalować system z Recovery ale w trakcie przypomniałem sobie że nie przeniosłem plików z dokumentów i z pulpitu.....coś poszło nie tak przy anulowaniu i musiałem naprawiać system a recovery już się nie odpala..... (napsociłem :/) Nie mam płyty z tym Windowsem, ze strony przy użyciu klucza występuje błąd wiec nie da się pobrać. 

Jednym słowem jest źle.

Może ktoś miał podobny problem i uda się odzyskać to recovery z dysku a jak nie to choć naprawić istniejący system.

W załączniku przesyłam skany z dzisiaj.

Proszę o pomoc

I z góry dziękuję za szybką odpowiedź.

 

Addition.txt FRST.txt g-m log.txt Shortcut.txt

[picasso]

Adware nie jest wyczyszczone dobrze, nadal jest aktywny sterownik WordFly. Jeśli chodzi o brak dostępu do internetu, to przypuszczalną przyczyną może być uszkodzenie łańcucha Winsock, pomimo że log FRST nie pokazuje tej usterki, a typuję to po obecności kilku plików na dysku które są wpuszczane z adware modyfikującym Winsock. Dodatkowo, plik systemowy dnsapi.dll był odświeżany co dopiero, co wskazuje na to, że była też infekcja w tym pliku i jest niejasne w jaki sposób go naprawiano. Tym wszystkim się zajmę. Natomiast uszkodzenie Recovery to osobna sprawa, nie wiem czy da się coś w tej kwestii zrobić, nie jestem pewna co się stało, że przy anulowaniu rozwaliło system.

 

Wstępnie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R1 wfdrvr_vt_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys [61296 2015-10-30] (WF)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
Task: {5BF71ACE-D8AD-4BA8-9293-95E1CA325D89} - System32\Tasks\Cigif => C:\PROGRA~1\GROOVE~1\Lursic.bat
Task: {85665E16-C27C-4287-9AC6-549AB492567D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA
Task: {9D0FD961-9A58-4B71-8FC5-1AFF71C8DA7D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA
Task: {B11FC049-05CA-4A1D-A9A1-1E04707D25CF} - System32\Tasks\{92A49F2D-8053-4C77-9839-6D0287C6CC43} => pcalua.exe -a D:\drivers\VGA_nVidia_WIN7_32_z817125741\setup.exe -d D:\drivers\VGA_nVidia_WIN7_32_z817125741
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
GroupPolicyUsers\S-1-5-21-3343506224-3256486555-700229984-1003\User: Ograniczenia <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-3343506224-3256486555-700229984-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-3343506224-3256486555-700229984-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1434908967&z=6f306756d3dd5d16bf528edg6zcc3z0tce9b9t3q2w&from=cmi&uid=ST9500325AS_5VEC8KP1XXXX5VEC8KP1
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\baidu
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\ASUS\AppData\Local\10002
RemoveDirectory: C:\Users\ASUS\AppData\Local\Call Download
RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1432553686-FA90-8A80-14DAE92F0F8F
RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1434900597-FA90-8A80-14DAE92F0F8F
RemoveDirectory: C:\Users\ASUS\AppData\Roaming\NetService
RemoveDirectory: C:\Users\ASUS\AppData\Roaming\Soft-4-Free.com
RemoveDirectory: C:\Users\ASUS\AppData\Roaming\WarThunder
C:\Users\ASUS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk
C:\Windows\system32\TinpuatbuOff.ini
C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys
C:\Windows\SysWOW64\Tinpuatbu.ini
C:\Windows\SysWOW64\TinpuatbuOff.ini
CMD: netsh advfirewall reset
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom sprawdzanie sfc /scannow i wyprodukuj przefiltrowany log sfc.txt: KLIK.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i sfc.txt. Wypowiedz się czy nastąpiła poprawa.

 

[Zulmar]

Dziękuję bardzo za odpowiedź.

Niestety nie udało się rozwiązać problemu.

Przesyłam logi w załączniku

 

EDIT:

Widzę że temat jest problematyczny....

 

Addition.txt Fixlog.txt FRST.txt sfc.txt

[picasso]

O ile problem nadal aktualny ... Wszystko zostało poprawnie usunięte, a dodatkowo skan SFC wykrył i naprawił zmodyfikowane pliki, w tym dnsapi.dll ściśle powiązany z funkcjonowaniem sieci:

 

2016-02-12 23:00:06, Info CSI 00000343 [SR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:18{9}]"sethc.exe" from store
2016-02-12 23:00:06, Info CSI 00000344 [SR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"dnsapi.dll" from store

 

Ale jest tu jeszcze przeoczona przeze mnie modyfikacja serwerów DNS:

 

Tcpip\..\Interfaces\{1F8531A7-15B1-42A3-9B1D-36872E4EA606}: [NameServer] 104.197.191.4

 

 

1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

 

Edytowane 23 Stycznia 2020 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso