dren Opublikowano 24 Lipca 2016 Zgłoś Udostępnij Opublikowano 24 Lipca 2016 Witam serdecznie wszystkich na tym forum po raz pierwszy i liczę na pomoc z następującym problemem: Od miesiąca klikając (czasami) na link z wyników wyszukiwania zostaje otwartych wiele stron po kolei czasami o treści porno. Skanowałem system różnymi programami Spy Hunter, Adwcleaner, Malwarebytes ale one nie znajdują żadnego problemu. Zmieniałem (odinstalowałem) przeglądarki z Chrome na IE i na Edge myśląc, że jest to przypisane do konkretnej przeglądarki ale niestety w każdej jest to samo. Za wszelkie uwagi i pomoc będę wdzięczny. scan.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 SpyHunter to program wątpliwej reputacji, z daleka od niego. To nie jest infekcja Windows tylko infekcja routera, dlatego nie pomoże tu żaden skaner ani "fix" robiony spod Windows. Zakreślony poniżej adres IP jest amerykański, a wg IP pod jakim Cię widzę na forum powinieneś należeć do puli Neostrady: Tcpip\Parameters: [DhcpNameServer] 54.186.51.153 8.8.8.8 Tcpip\..\Interfaces\{5675eb02-32c0-4a1d-b5f4-ee12cc768d69}: [DhcpNameServer] 54.186.51.153 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony działania poboczne: 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje z lukami: Adobe Reader 9.2, Java 8 Update 65. 3. Kosmetyczny skrypt usuwający wpisy odpadkowe, czyszczący tempy oraz bufor DNS. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-27] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-04-08] (McAfee, Inc.) R3 tapoas; C:\Windows\System32\drivers\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) S4 sptd2; System32\Drivers\sptd2.sys [X] Task: {098BA10A-8F9A-4771-8D74-D33DD3048C63} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {30565CC9-3B9B-495F-BB8E-5A06C60EB940} - System32\Tasks\{E41EC412-94DF-4B1E-B864-CE8A3840BB71} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.85.109/pl/abandoninstall?page=tsMain Task: {3A7BA0A7-2AC6-4911-AB61-AE610604CB03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4B7BC54B-1AA2-4C80-8CA9-07B9DFA606D2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {54DFD4E3-C236-4A41-AACD-D65DFDC2C285} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {65A984DB-124E-48C9-8321-1FDCA6DFC126} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6C8FA0B3-0E6B-432D-A43E-154A1D625807} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7A6DA48A-CFF2-4DCA-A6F2-CFBC8E9B5D79} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8040A8E0-7E60-487C-850C-C6271CCEBEF7} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe Task: {8302DD23-3107-4BB3-A2D0-298AABF7ABD2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85C7675E-D687-4823-8FC1-A3665F60180D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8F95515E-B100-4D59-BEB4-957DADA2BB6D} - System32\Tasks\{8EA4ED6B-40B0-4C4C-8D7E-EB75E3EE0BCB} => pcalua.exe -a C:\RADEK\Programy\vcds\VCDS-Release-10.6.3-Installer.exe -d C:\RADEK\Programy\vcds Task: {9851AD02-6C4D-4554-8E65-65830300432F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A0D559F3-69A9-49D3-A4D0-750EB8EC9E5D} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {B57C673B-EBFE-4364-A415-4866472F637C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B84FCDF4-D314-4E92-BE82-92AD952DB598} - System32\Tasks\{AD3DF014-89F8-4174-BDDD-74FA268797A0} => pcalua.exe -a C:\Users\RS\AppData\Local\Apps\2.0\ORAZWQA5.9H1\0G0VJANG.LVM\dell..tion_e30b47f5d4a30e9e_0006.0002_6ed9efd02e5cb421\Uninstaller.exe -c uninstall HKLM\...\Winlogon: [userinit] HKU\S-1-5-21-3054135196-845340782-310906622-1001\...\Policies\Explorer: [] IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exe ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers: [DBARFileBackuped] -> {831cebdd-6baf-4432-be76-9e0989c14aef} => Brak pliku ShellIconOverlayIdentifiers: [DBARFileNotBackuped] -> {275e4fd7-21ef-45cf-a836-832e5d2cc1b3} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia GroupPolicyScripts-x32\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-3054135196-845340782-310906622-1001 -> {BB85DA07-84FD-4A5F-BBBA-FE97DAC4DEB4} URL = Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v RT-Updater.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BTMTrayAgent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v FAH.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Dropbox /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kED C:\ProgramData\TEMP C:\Users\RS\AppData\Local\{3B782F07-687A-4CE2-8860-88E2B34DE037} C:\Users\RS\AppData\Local\{613D4527-415C-453A-BBD2-3931B863C4BB} C:\Users\RS\AppData\Local\globalUpdate — skrót .lnk C:\Users\RS\AppData\Local\Google C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\System32\drivers\tapoas.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
dren Opublikowano 9 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Bardzo dziękuję za odpowiedź, Jestem w szoku, że mój modem był zahakowany - rozważam jego wymianę na coś bardziej nowszego i bezpiecznego. wszystkie powyższe zalecenia wykonane Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Wygląda na to, że problem został rozwiązany. Obecnie w raporcie widać już pobrane z routera adresy Google: Tcpip\..\Interfaces\{5675eb02-32c0-4a1d-b5f4-ee12cc768d69}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Fix FRST też pomyślnie wykonany. Kończymy: 1. Usuń ręcznie z folderów na Pulpicie (Nowy folder (2) + z pulpitu 29.07.2016) FRST i jego logi. Następnie jeszcze popraw za pomocą DelFix, a także wyczyść foldery Przywracania systemu: KLIK. 2. Zakładam, że router poprawnie zabezpieczyłeś. Upewnij się czy masz najnowszy firmware. Jeśli problem będzie powracał, a wszystkie warunki zabezpieczeń będą spełnione (wliczając firmware), wymiana urządzenia może być trwalszym rozwiązaniem. Odnośnik do komentarza
dren Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Jeszcze raz dziękuję za okazana pomoc 1. zrobione 2. firmware - trudno powiedzieć czy najnowszy gdyż oficjalnej strony brak, a z innych źródeł strach ściągać 3. jeszcze ostatnia prośba o zerknięcie na załączonego screen shota z menadżera urządzeń (duża ilość poinstalowanych urządzeń sieciowych), nie jestem pewien czy to normalna sytuacja, czy czasem sprawa jakiejś infekcji Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Jeśli chodzi o te urządzenia, to ja już usuwałam powiązany sterownik w skrypcie FRST (wyglądał mi na odpadek, jakoś nie widzę skorelowanego oprogramowania na liście): R3 tapoas; C:\Windows\System32\drivers\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) W związku z tym co widać w menedżerze, spróbuj odinstalować wszystkie widoczne urządzenia "TAP" + restart systemu. Odnośnik do komentarza
dren Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 niestety jedno urządzenie po odinstalowaniu i restarcie pojawia się ponownie - załączam screenshot Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Przyjrzałam się jeszcze raz na logi. Te urządzenia TAP wyglądają na pochodną cracka aktywacji, który jest w Harmonogramie zadań: Task: {B9BE3B91-44AB-47CF-A612-EF836D8A4CCE} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2015-12-28] () O tym cracku m.in. w tym temacie: KLIK. Decyduj co robimy, czy usuwamy crack w całości. Odnośnik do komentarza
dren Opublikowano 11 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Zdaje się, że instalowałem tego cracka do Offica - więc lepiej żeby został Odnośnik do komentarza
picasso Opublikowano 11 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 W tej sytuacji to wszystko z mojej strony. Urządzenia TAP będą wracać i nie można tego zablokować, dopóki siedzi obiekt startowy w Harmonogramie. Odnośnik do komentarza
dren Opublikowano 11 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Dziękuję serdecznie - wiedziałem, że znajdę tu pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi