wwd Opublikowano 17 Września 2017 Zgłoś Udostępnij Opublikowano 17 Września 2017 Od niedawna mam problem z otwieraniem stron. Podczas otwierania pojawia się komunikat: Ta witryna jest nieosiągalnaNie udało się znaleźć adresu DNS serwera.......... Początkowo było to bardzo rzadkie więc nie zwracałem uwagi. Wczoraj natomiast co druga próba otwarcia strony kończyła się powyższym komunikatem. Myślałem że to wina router ale przy połączeniu przez modem (Dialog przez BSA), sytuacja była ta sama. Dzisiaj przywróciłem system z dwóch tygodni wstecz i problem był ten sam. Nie mogę cofnąć się bardziej ponieważ mam zainstalowane kilka programów których nie da się ponownie aktywować. Na razie wpisałem w router adresy DNS 8.8.8.8 i 8.8.4.4 i problem nie występuje ale przeskanowałem system programem RepairDNS (kolega mi taki polecił) i wykrył on dużo"Hickjacker.DNS.Hosts", co ciekawe inny program tego typu - CleanDNS nie wykrył niczego. System przeskanowany MBAM oraz HitmanPro i nic nie wyszło. Proszę o przeglądnięcie logów. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2017 Zgłoś Udostępnij Opublikowano 20 Września 2017 Na przyszłość: nie wykonuj skanu FRST w momencie gdy skan MBAM jest w toku. To powoduje ujawnienie w raporcie FRST tymczasowo montowanych przez MBAM gałęzi rejestru, które są repliką docelowych gałęzi. W raportach brak oznak infekcji. Do wykonania będą potem tylko drobne działania na wpisy puste, co nie ma żadnego wybitnego znaczenia. Na razie wpisałem w router adresy DNS 8.8.8.8 i 8.8.4.4 i problem nie występuje ale przeskanowałem system programem RepairDNS (kolega mi taki polecił) i wykrył on dużo"Hickjacker.DNS.Hosts", co ciekawe inny program tego typu - CleanDNS nie wykrył niczego. Obecnie FRST nie wskazuje na naruszenia systemowego pliku dnsapi.dll. Zaprezentuj raporty z obu programów. Być może różnica w detekcji wynika z kolejności uruchomienia programów. Dodatkowa uwaga, pobierałeś program z jakiegoś dziadoskiego portalu z Asystentem pobierania, to nie jest oryginalny plik tylko śmieć planujący ładowanie adware w system. Poprawne linki pobierania w przyklejonym: KLIK. 2017-09-17 12:08 - 2017-09-17 12:08 - 000001087 _____ C:\Users\dx-tech\Desktop\Kontynuuj instalację RepairDNS.lnk Odnośnik do komentarza
wwd Opublikowano 20 Września 2017 Autor Zgłoś Udostępnij Opublikowano 20 Września 2017 Dziękuję za odpowiedź Dodatkowa uwaga, pobierałeś program z jakiegoś dziadoskiego portalu z Asystentem pobierania, to nie jest oryginalny plik tylko śmieć planujący ładowanie adware w system. Poprawne linki pobierania w przyklejonym: KLIK. 2017-09-17 12:08 - 2017-09-17 12:08 - 000001087 _____ C:\Users\dx-tech\Desktop\Kontynuuj instalację RepairDNS.lnk Link do pobrania programu DNSRepair z tego forum nie działa - pobiera plik permission-denied.txt z zawartością "You don't have permission to download this file" Jeszcze raz wrzucam skany, raport z repair DNS jest w formacie jpeg ponieważ z programu nie można skopiować. Clean_DNS.txt Odnośnik do komentarza
picasso Opublikowano 20 Września 2017 Zgłoś Udostępnij Opublikowano 20 Września 2017 A rzeczywiście, widzę że narzędzie usunięte, potem poprawię link lub zamienię opis. Raporty z FRST są zbędne (usuwam), one pokazują to samo co przedtem, a dla mnie jest jasne które gałęzie są montowane przez MBAM (jednoznaczne nazwy gałęzi) i nie potrzebuję nowych raportów by to samodzielnie "przefiltrować". Pliki dnsapi.dll nie są wykryte jako naruszone. Moim zdaniem to jest jakiś błąd w RepairDNS, być może ściągnąłeś jakąś wadliwą wersję z bugami (które naprawiono później), albo program właśnie wycofano ze względu na błędy. Żadnych oznak, by przyczyną kłopotów była infekcja. PS. A co do tej wspominanej kosmetyki, to w spoilerze drobny skrypt do FRST. Zakładam, że ShadowDefender nie odkręci zmian. 1. Nie jest Ci potrzebna wersja Adobe Flash NPAPI - to wariant pod Firefox i pochodne, brak oznak takich instalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: HKU\S-1-5-21-618257460-3239430686-1694033563-1000\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-618257460-3239430686-1694033563-501 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Kaspersky Protection plugin -> {C66D064F-82FE-4E1A-B06A-B2490BA48B18} -> Brak pliku Toolbar: HKLM - Kaspersky Protection toolbar - {3507FA00-ADA2-4A02-99B9-51AD26CA9120} - Brak pliku CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{004B49B7-11B9-5058-AA22-08DD0A3ADC4B}\InprocServer32 -> {181AA46E-9468-D082-3834-6BE985889A47} => Brak pliku CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {18BB54C4-9468-D082-92C4-CAE985889A47} => Brak pliku CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{DD0822AA-3A0A-4BDC-B749-4B00B9115850}\InprocServer32 -> {54201501-9468-D082-5785-51A585889A47} => Brak pliku CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {54039E11-9468-D082-470E-72A585889A47} => Brak pliku Task: {545D95AF-1CF8-4FDA-ADC1-5C39A785B4F9} - System32\Tasks\{B434A3BC-F1A3-40EC-99C6-CCB78D9672B8} => C:\Windows\system32\pcalua.exe -a C:\Users\dx-tech\Downloads\SD1.4.0.648_Setup.exe -d C:\Users\dx-tech\Desktop Task: {6B3D60FA-80ED-4882-B1B8-B91DC18967C6} - System32\Tasks\{002C9BFF-9889-4260-BCC9-2F6516AC9756} => C:\Windows\system32\pcalua.exe -a C:\Users\dx-tech\Downloads\SD1.4.0.636_Setup.exe -d C:\Users\dx-tech\Desktop Task: {7784BA26-E8D1-40FE-8E49-0F66BF491FB0} - System32\Tasks\{EB184632-9583-49EE-8686-6A60B4115B19} => C:\Windows\system32\pcalua.exe -a "C:\Users\dx-tech\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M5HA1FRT\SD1.4.0.629_Setup.exe" -d C:\Users\dx-tech\Desktop Task: {91B802BE-8D56-4F36-AE4E-692113AD5D90} - \NordVPN -> Brak pliku Task: {B1B0F6B0-E7E6-4CBE-800F-FB4A44A9B01F} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_25_0_0_148_pepper.exe DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Zaprezentuj go. Odnośnik do komentarza
picasso Opublikowano 20 Września 2017 Zgłoś Udostępnij Opublikowano 20 Września 2017 RepairDNS wycofany został ze względu właśnie na fałszywe alarmy: KLIK. Jak podane w linku, początkowo fałszywe alarmy na Windows 7, potem też na Windows 10. Autor stwierdził, że nie będzie poszukiwał przyczyn (prawdopodobnie wynik którejś aktualizacji Windows) tylko wycofa program, gdyż tę infekcję i tak wykrywają obecnie wszystkie główne antywirusy. Odnośnik do komentarza
wwd Opublikowano 20 Września 2017 Autor Zgłoś Udostępnij Opublikowano 20 Września 2017 Zrobione, po zabiegu nie działa Magager haseł - roboform w operze - "Can't load roboform plugin" Edit: działa - reinstall załatwił sprawę. Dziękuję za pomoc Odnośnik do komentarza
picasso Opublikowano 20 Września 2017 Zgłoś Udostępnij Opublikowano 20 Września 2017 Nie przedstawiłeś pliku Fixlog.txt. Zrobione, po zabiegu nie działa Magager haseł - roboform w operze - "Can't load roboform plugin" Nie wiem z jakiej przyczyny, gdyż skrypt FRST nie ruszał tego (ani powiązanych komponentów Roboform): OPR Extension: (RoboForm Password Manager) - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome [2016-12-18] Odnośnik do komentarza
wwd Opublikowano 20 Września 2017 Autor Zgłoś Udostępnij Opublikowano 20 Września 2017 Tym bardziej nie wiem, może zbieg okoliczności... Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się