"one more step..." problem z wejściem na strony

[Qhorin]

Mam problem na wejście na niektóre strony, za każdym razem jak chcę na takowe się dostać wyskakuję komunikat "one more step please complete the security check to access" np;

 

- hxxps://www.gwentdb.com

- hxxps://fili.tv

- htxxs://zalukaj.com

 

Na fili nie wyświetlają mi się filmy tak samo jak na zalukaj i ogólnie przeszkadza ciągłe wciskanie przycisku "nie jestem robotem", jest to pewnie spowodowane jakąś infekcją komputera więc podaje logi:

 

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

System jest zainfekowany, szkodnik uruchamia się jako alternatywna powłoka Windows. Operacje do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3276139969-1455258867-2993420445-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\hssad\ddfsf.exe" 
Task: {2EE0639C-71C5-4614-B579-3670C0F3A455} - System32\Tasks\UpdateChecker => C:\Users\BlackBOX\AppData\Roaming\taskmg.exe 
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
MSCONFIG\startupreg: uTorrent => "C:\Users\BlackBOX\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
C:\ProgramData\hssad
C:\Users\BlackBOX\AppData\Local\Temp*
C:\Users\BlackBOX\Desktop\Nowy folder\GeForce Experience.lnk
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > sekcja Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres feed.helperbar.com.
• Ustawienia > sekcja Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres feed.helperbar.com.
• W pasku adresów wklep chrome://extensions i ENTER. Odinstaluj Video Downloader professional (wątpliwe rozszerzenie, producent powiązany z aktywnościami adware).

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[Qhorin]

Wszystko zrobione punkt po punkcie, problem występuje nadal.

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Infekcja pomyślnie usunięta, co nie oznacza, że komunikat zniknie od razu. To zabezpieczenie po stronie serwera i komunikat będzie wysytępował dopóki IP jest na czarnej liście. Nic w tej kwestii nie da się więcej zrobić poza odczekaniem na automatyczne zdjęcie blokady lub zgłoszeniem problemu dostawcy Netia.

 

Kolejne kroki:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST, by kwarantanna nie była wykrywana w skanie zadanym poniżej.

 

2. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport ze skanu, o ile coś zostanie wykryte.

[Qhorin]

Usunąłem folder jak i przeprowadziłem skan programem adwcleaner, program nie wykrył żadnych infekcji. Chciałbym jeszcze dodać że kiedyś przez stronę projecthoneypot.org dodałem się do "whitelist" tyle że problem znikł na około 2 tygodnie, po czym wrócił i właśnie dlatego piszę w tej sprawie. Wielkie dzięki za pomoc  

[picasso]

Usunąłem folder jak i przeprowadziłem skan programem adwcleaner,

 

Podałam inny program do skanu: Malwarebytes Anti-malware, a nie AdwCleaner.