Anti Malware Malicious website blocked (proces: svchost.exe) + Blue screen

[Finalkaa]

Witam.

Na wstępie chciałabym wyjaśnić, że piszę z konta przyjaciółki, ponieważ miałam problemy z rejestracją na forum. Od kilku godzin nieustannie wyskakują mi komunikaty programu Malwarebytes Anti-Malware o następującej treści: "Malicious Website Blocked, Domain - IP: 91.207.7.105, Port: 65517 ( ta wartość nieustannie się zmienia), Type: Outbound, Process: C:\Windows:\System32:\svchost.exe - dołączyłam jeden log programu Malwarebytes odnośnie komunikatów w załącznikach. Z początku przeskanowałam kilka razy komputer za pomocą Malwarebytes Anti-Malware, jednak nie wyszukiwał żadnych podejrzanych plików, pomimo że chwilkę później zasypywał mnie komunikatami o blokowaniu stron. Ponadto w pewnym momencie program się zawiesił, nie mogłam nic uruchomić, ani zamknąć, więc musiałam zrestartować komputer. Przeskanowałam wtedy system za pomocą antywirusa ESET Smart Security, jednak on również nie wyświetlił informacji o niebezpiecznych plikach. Na domiar złego, przy tworzeniu kolejno potrzebnych logów, a dokładnie przy uruchomieniu OTL pojawił mi się Blue Screen i nastąpiło ponowne uruchomienie komputera. W załączniku dolączam logi. Martwię się, czy coś poważniejszego dzieje się z komputerem, czy to tylko jakieś przejściowe, małe infekcje, ponieważ dotychczas ani razu nie miałam Blue Screena, ani takich problemów, które wymagały restartu komputera, pomimo że mam go już ponad 2 lata.

Bardzo proszę o pomoc i z góry dziękuję.

Pozdrawiam, Iza

 

Addition.txt

Extras.Txt

FRST.txt

gmer log.txt

OTL.Txt

Shortcut.txt

malwarebytes log.txt

[picasso]

System nie jest zainfekowany per se, tylko nieczynne odpadki adware. Tu jest infekcja routera. Ten pierwszy adres IP jest szkodliwy, ukraiński: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8

 

Przeprowadź następujące działania:

 

1. Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673
ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Task: {CACE5160-018A-4ECC-AFC4-CB782A04A6B1} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe 
Task: {D299E8CB-0686-46BD-9ABC-ED46A64931B4} - System32\Tasks\{F1EDAB2B-FA9D-4A42-9A0A-1D69801CCA03} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsProgressBar
S3 cpuz134; \??\C:\Program Files (x86)\CPUID\PC Wizard 2010\pcwiz_x64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
C:\Program Files (x86)\mozilla firefox\plugins
C:\Users\komp\AppData\Local\Temp*.html
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\desksvc" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[Finalkaa]

Bardzo dziękuję za tak szybką odpowiedź. Zmieniłam ustawienia DNS na 8.8.8.8 oraz 8.8.4.4, zamknęłam dostęp do panelu zarządzania z Internetu, a następnie uruchomiłam test, po czym wyświetliła się informacja, że: "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu.". 

Dołączam logi z FRST. Mogę już teraz powiedzieć, że komunikaty z programu Malwarebytes Anti-Malware zniknęły, za co jestem ogromnie wdzięczna!

 

Pozdrawiam.

 

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane poprawnie. Możemy kończyć:

 

1. Mała poprawka. Otwórz Notatnik i wklej w nim:

 

FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń C:\Users\komp\Downloads\programy do robienia logów i zastosuj DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj starą dziurawą wersję Java™ 6 Update 20.

 

 

 

.

[Finalkaa]

Dziękuję za szybką odpowiedź. Zastosowałam się do rad i wyczyściłam wszystko jak należy. Dołączam log z DelFix, zgodnie z instrukcją podaną na forum.

Bardzo dziękuję za pomoc, której mi udzielono. Jestem niezmiernie wdzięczna

 

Pozdrawiam, Iza.

DelFix.txt

[picasso]

Zadanie wykonane. Możesz już usunąć plik C:\DelFix.txt.

 

Temat rozwiązany. Zamykam.