Wirus zmieniający dns i ucinający internet

[junoumi]

Witam.

Od paru dni mam problem ze zmieniającym się DNS, który zrywa internet. Po przeskanowaniu mbam, cclenar i adwcleaner został znaleziony wirus PUP.Optional.InstallCore i niby usunięty. Jednak DNS zmienia się za każdym razem po zrestartowaniu systemu lub przełączeniu użytkownika. Po zmianie na "Uzyskaj adres serwera DNS automatycznie" internet działa normalnie. Internet stacjonarny z orange, problem tylko na tym komputerze. Reszta komputerów podłączona pod ten sam router działa poprawnie.

Wrzucam logi z FRST + raport z Malwarbytes + Adwclenaer, które wykryły wirusy.

Dzięki za pomoc.

Addition.txt

malwarbytes.txt

AdwCleanerC0.txt

FRST.txt

Shortcut.txt

[Miszel03]

Po przeskanowaniu mbam, cclenar i adwcleaner został znaleziony wirus PUP.Optional.InstallCore i niby usunięty.

 

PUP.Optional.InstallCore to najczęściej asystent pobierania ze zintegrowanym adware, zaś detekcje podejrzanego ByteFence powinna być skorygowana w postaci deinstalacji z poziomu Panelu Sterowania, ale już trudno...

 

---

 

W raportach brak oznak infekcji, ale z poziomu ustawienia NameServer (adresy DNS pobierane spod Windows, a nie z routera!), które co prawda nie są adresami bieżącymi widoczne są podejrzane DNS - są zarejestrowane w Wielkiej Brytanii (KLIK / KLIK).

Sprawdziłem adres IP, z którego logujesz się na forum i on jest polski, więc raczej niemożliwe jest by domyślnym ustawieniem był taki adres (nie widzę też programów, które mogłyby to zmieniać celowo).

 

Skasuje te wartości i zresetuje bufor nazw DNS (oprócz tego czyszczenie martwych wpisów, szczątek po Mozilla FireFox i zanieczyszczonego przez adware pliku Hosts). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
Tcpip\..\Interfaces\{5dafd5e2-8513-41dc-8378-b8c5f23cabb7}: [NameServer] 185.74.47.1,185.74.47.2
Tcpip\..\Interfaces\{6cb9fc0d-3c9f-4809-9bed-a3e0831fc3a3}: [NameServer] 185.74.47.1,185.74.47.2
Tcpip\..\Interfaces\{70a74bdc-8e9f-451f-98f8-56998e68a78a}: [NameServer] 185.74.47.1,185.74.47.2
Tcpip\..\Interfaces\{8aa02326-f6f6-4583-b416-c2834ae35849}: [NameServer] 185.74.47.1,185.74.47.2
SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1009 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1009 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1010 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2599955190-633891189-1023220953-1010 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {03B41348-2613-4535-8A0F-3A1092C6C203} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {08EFB420-9AC5-456A-B748-35A1213B0C80} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {319F077C-4119-45A8-B3FD-EA661FADB853} - \WPD\SqmUpload_S-1-5-21-2599955190-633891189-1023220953-1009 -> Brak pliku 
Task: {3A78890E-DF23-45F8-90EB-8D7BB27D8426} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {4B4829AB-0433-416D-ACC0-B13ADA67637E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {6655EABC-B763-4BBB-BDD1-7EE97F4D9A7E} - \WPD\SqmUpload_S-1-5-21-2599955190-633891189-1023220953-1001 -> Brak pliku 
Task: {6BBD466D-DB9B-489B-A5E0-40B89CB6B790} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {6F7D60BA-9B63-479F-A57F-DC5C05C41511} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {96C28A8F-DA12-47AF-A6AF-199FB6FD7FF0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {97EE6415-5996-4928-A95B-B0D1C49089EC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {9860CBC0-9DB1-414F-81DE-5E52EEAC9126} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {B710B8D5-53B1-4AB6-A052-D4A21A34BA2B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {D633DE30-1034-4230-9F6C-BD28ACEF0E3A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {D6C66D61-9F11-4BE8-9DFB-B3503EC74AD3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {E96DD143-3359-426A-8EC9-A89BFDB7ADF5} - \WPD\SqmUpload_S-1-5-21-2599955190-633891189-1023220953-1010 -> Brak pliku 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Piotr\AppData\Local\Mozilla
C:\Users\Piotr\AppData\Roaming\Mozilla
C:\Users\Piotr\AppData\Roaming\Profiles
CMD: ipconfig /flushdns
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[junoumi]

Wrzucam nowe logi.

Co do Byte Fence to próbowałem go odinstalować z Panelu Sterowania jako pierwszy krok, przy dezinstalacji wyskoczył jakiś błąd, ale program zniknął i wydawało się, że jest odinstalowany. 

Dns zmienia się po każdym restarcie i jest zawsze ten sam: 185.74.47.1 i alternatywny 185.74.47.2.

ps. problem nadal występuje.

Addition.txt

Fixlog.txt

FRST.txt