Problem z internetem: witryna nieosiągalna, urządzenie nie umożliwia akceptowania połączeń

[joann88]

Witam.

 

Po próbie wejścia na niektóre strony pojawia się komunikat witryna jest nieosiągalna. Po diagnostyce informacja Konfiguracja urządzenia lub zasobu nie umożliwia akceptowania połączeń przy użyciu portu Usługa World Wide (HTTP)

 

Dwa dni wcześniej usuwałam piesearch, na chwilę obecną mam jeszcze problem z reklamami BestDeals

 

Załączam wyniki skanu programem FRST

 

Proszę o pomoc

 

Pozdrawiam

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Liczne problemy infekcyjne w systemie:

- Infekcja DNS Unlocker (zadanie PowerShell w Harmonogramie i zmodyfikowane masowo serwery DNS przekierowujące na izraelskie IP)

- Uruchomiony fałszywy klon Google Chrome jIxmRfR ze zintegrowanym adware, ustawiony jako domyślna przeglądarka, który podmienił wszystkie skróty Google Chrome. Przypuszczalnie wydaje Ci się, że uruchomiłaś Google Chrome, a to podróbka.

- Problem pieserch także nie rozwiązany (zmodyfikowane skróty przeglądarek i preferencje Firefox).

 

 

Akcje do wykonania:

 

1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Application Support, Apple Software Update, Java 8 Update 40, Gadu-Gadu 10, Opera 10.50, QuickTime. Tak, cały majdan Quicktime, ponieważ ostatnio wykryto poważną lukę w programie, Apple się wypięło i usuwa wsparcie dla Windows, zalecana kompletna deinstalacja.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 DeskTop_F; C:\ProgramData\desktopfind\desktop244.exe [236728 2016-03-16] (DeskTopService)
R2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] ()
S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] ()
Task: {2D111878-3D8C-419B-ADDE-2C07AD40D75B} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] ()
Task: {2D3FB577-46E9-4516-9F40-65F56CC11E63} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\CE27B5CEDB198923421F52D8D274356E\Update\BrowserUpdate.exe [2016-04-08] (Tencent) 
Task: {2E125864-79D1-4527-ABE8-403129516330} - System32\Tasks\{163E9032-7509-4DB5-9B49-2C9F925F1F05} => pcalua.exe -a C:\Users\OEM\Downloads\chromeinstall-7u67.exe -d C:\Users\OEM\Downloads
Task: {329BC00C-CC95-40D7-ABB0-AA6DDBFEA258} - System32\Tasks\{B09836DB-37DC-4E1A-8ADC-0823D06892C0} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
Task: {4510E2CF-C195-4129-91E3-2BA3136E3D30} - System32\Tasks\{50319244-F92C-4AF6-BADA-4AF495E42C1C} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
Task: {51850AE3-AD21-433A-BE99-DDAE9893375F} - System32\Tasks\{0C0B7A47-7A0B-0E7F-7E11-0D7A0508110D} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej). 
Task: {7D5718D0-2CF9-43F4-83AC-8272570ABDCB} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater – Install HPSA Logon Task => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe
Task: {7D9F93C0-67D4-4D00-A2CF-0AB69B7B7076} - System32\Tasks\{2E97FE42-6004-45C2-BEFB-A603AE56EA6B} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
Task: {8DC7FCD3-28D4-4244-B2C0-C74C781B447A} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] ()
Task: {A447D529-E569-4BD9-8483-4ECA5FCA3A52} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-02-03] () 
Task: {B72FD7B7-0FE1-45BE-ADD5-DBE410A14A33} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] ()
Task: {F95473AA-C127-4614-8397-FC0CFA50B19C} - System32\Tasks\{9A821CF0-9181-49A8-B0EC-2ABE2EBE8768} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [GoogleChromeAutoLaunch_344DDB7B60937B1E369F7AD19F7CD062] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.)
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [793893109BBBD53AF57A2AEA9CEEF7B06516C20F._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}
SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {6C0B584D-6935-4C23-84CA-9371887E42F5} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {D8DEF47E-1B7D-48B0-986F-3FEE2334582A} URL = hxxp://search.us.com/serp?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}&k={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{9506D651-7D0D-4122-8524-9FD5F47614CD}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{ADF0E688-D307-4D46-9A33-584F845183CD}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{DC85143D-8AE0-4F46-9CC2-2DC2B61D52D0}: [NameServer] 82.163.142.7 95.211.158.134
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Classes\jIxmRfRHTM
DeleteKey: HKCU\Software\Clients\StartMenuInternet\jIxmRfRHTM
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera
DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f
Reg: reg delete HKCU\Software\RegisteredApplications /v jIxmRfRHTM /f
Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f
C:\Program Files (x86)\jIxmRfR
C:\Program Files (x86)\QQBrowser
C:\Program Files (x86)\SearchesToYesbnd
C:\Program Files (x86)\WinTaske
C:\Program Files (x86)\WinZipper
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\desktopfind
C:\ProgramData\jIxmRfR
C:\ProgramData\XwinpX
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TopWare Interactive
C:\Users\OEM\AppData\Local\jIxmRfR
C:\Users\OEM\AppData\Roaming\Drimar
C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\OEM\Desktop\Pressure.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Windows\system32\log
C:\Windows\SysWOW64\pl.html
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Ręcznie zrób skróty przeglądarki na Pulpicie / Pasku zadań i w Menu Start.

Wybraną przeglądarkę ustaw jako domyślną, by przebiła ustawienia fałszywego klona.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

[joann88]

Witam.

 

Wykonałam wszystkie punkty.

Nadal nie moge połączyć się ze stroną

Na mozilli  - Nie udało się nawiązać połączenia

Na chromie -  ta witryna jest nieosiągalna serwer odrzucił połączenie

 

Skany w załączniku

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

O jakie konkretnie strony chodzi, może z prefiksami https? I czy to na pewno wynik infekcji? W systemie działa też pakiet Avast Internet Security z firewallem i osłoną web, co także może mieć coś do rzeczy. W Dzienniku zdarzeń jest nawet błąd ładowania jednego ze składników:

 

Dziennik System:

=============

Error: (04/26/2016 07:06:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

aswNetSec

 

vs.

 

S1 aswNetSec; C:\Windows\system32\drivers\aswNetSec.sys [552880 2016-02-24] (AVAST Software)

 

 

Prawie wszystko wykonane. Kolejna porcja zadań:

 

1. Na próbę odinstaluj Avast Internet Security i zresetuj system, by sprawdzić czy to ma związek z problemem stron. Potem go ewentualnie zainstalujesz ponownie.

 

2. Odinstaluj stary sterownik SPTD pozostawiony po deinstalacji DAEMON Tools posługując się narzędziem SPTDinst.

 

3. Otwórz Notatnik i wklej w nim:

 

Task: {7523F310-F624-4DC8-A9B3-738902BED371} - \jIxmRfRCheckTask -> Brak pliku 
Task: {75A31E1F-80AE-414C-ABF3-3EC50865E12A} - \jIxmRfRBrowserUpdateUA -> Brak pliku 
Task: {F69E5E56-7F72-4A5C-9060-210818F33239} - \jIxmRfRBrowserUpdateCore -> Brak pliku 
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Adobe
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\ProgramData\Adobe
CMD: del /q C:\Users\OEM\AppData\Local\{AEFCAA06-3105-4DA4-B367-6D50F50C322B}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

4. Uruchom FRST, w polu Szukaj wklej:

 

jIxmRfR

 

Klik w Szukaj w rejestrze i przedstaw wynikoy log.

[joann88]

Wszystko zrobione

Wyniki w załączniku. Czy mogę już zainstalować na powrót Avasta?

 

Czy przez obecność tych wszystkich dziwnych rzeczy moje konto bankowe na które się logowałam jest jakoś zagrożone?

 

Fixlog.txt

Search.txt

[picasso]

Czy mogę już zainstalować na powrót Avasta?

Czyli mam rozumieć, że problem z nieładowaniem stron ustąpił po jego deinstalacji? Avasta przywrócisz po ukończeniu czyszczenia systemu z adware, bo tu jeszcze sporo przed nami.

 

 

Czy przez obecność tych wszystkich dziwnych rzeczy moje konto bankowe na które się logowałam jest jakoś zagrożone?

Nie sądzę, aczkolwiek po ukończeniu czyszczenia dla świętego spokoju możesz zmienić login do banku.

 

 

Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASAPI32
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASMANCS
DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\jIxmRfR
DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8011fc28_0
Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f
Reg: reg delete "HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[joann88]

zrobione

 

Miałam problem z wejściem na stronę torrenty.org, ale ponoć jest jakiś problem z serwerem

Fixlog.txt

AdwCleanerS1.txt

[picasso]

Fix FRST pomyślnie wykonany. AdwCleaner znalazł dużo resztek adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia. Gdy go potwierdzę, zadam kolejny skan innym narzędziem.

[joann88]

zrobione

AdwCleanerC1.txt

[picasso]

Odinstaluj AdwCleaner posługując się przyciskiem w głównym oknie. Następnie zrób skan za pomocą Hitman Pro i dostarcz wynikowy log.

[joann88]

mam nadzieje że dobrze zmieniłam rozszerzenie

HitmanPro_20160427_2139.txt

[picasso]

1. Jedyny wynik do zignorowania to "podejrzany plik", to jest fałszywy alarm na pliku FRST. Reszta wyników do usunięcia za pomocą Hitman.

 

2. Na wszelki wypadek jeszcze, przed instalacją Avast, zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, by potwierdzić czy nie zostały jakieś szczątki z poprzedniej instalacji Avast.

[joann88]

Wykonane

Czy już jest w porządku?

FRST.txt

Addition.txt

[picasso]

Jeszcze drobne korekty na odpadki po Avast:

 

1. W Google Chrome odinstaluj rozszerzenie Avast Online Security.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {0BC0C6E7-54FC-4D09-A422-C6E1AB297E2D} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
S4 sptd; System32\Drivers\sptd.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\avast! sandbox
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[joann88]

Jak wchodzę w rozszerzenia w Chrome to mam tylko:

- arkusze google

-dokumenty google

-dokumenty google offline

- prezentacja google

 

Gdzie szukać tego rozszerzenia Avasta?

[picasso]

Skoro go nie widać, to może folder na dysku jest odpadkiem. Do powyższego skryptu FRST doklej jeszcze te dwie linie:

 

RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gomekmidlodglbbmalcneegieacbdmki

[joann88]

już

Fixlog.txt

[picasso]

Kończymy:

 

1. Zastosuj narzędzie DelFix. Hitman Pro zaś możesz odinstalować lub zostawić sobie do skanów na żądanie w przyszłości.

 

2. Wykonaj pełną aktualizację systemu z Windows Update. Obecnie stan fatalny - brak SP1, IE11 i reszty łat. Do instalacji będzie kilkaset łat.

 

3. Po ukończeniu aktualizacji przywróć Avast.