Finalkaa Opublikowano 29 Października 2014 Zgłoś Udostępnij Opublikowano 29 Października 2014 Witam. Na wstępie chciałabym wyjaśnić, że piszę z konta przyjaciółki, ponieważ miałam problemy z rejestracją na forum. Od kilku godzin nieustannie wyskakują mi komunikaty programu Malwarebytes Anti-Malware o następującej treści: "Malicious Website Blocked, Domain - IP: 91.207.7.105, Port: 65517 ( ta wartość nieustannie się zmienia), Type: Outbound, Process: C:\Windows:\System32:\svchost.exe - dołączyłam jeden log programu Malwarebytes odnośnie komunikatów w załącznikach. Z początku przeskanowałam kilka razy komputer za pomocą Malwarebytes Anti-Malware, jednak nie wyszukiwał żadnych podejrzanych plików, pomimo że chwilkę później zasypywał mnie komunikatami o blokowaniu stron. Ponadto w pewnym momencie program się zawiesił, nie mogłam nic uruchomić, ani zamknąć, więc musiałam zrestartować komputer. Przeskanowałam wtedy system za pomocą antywirusa ESET Smart Security, jednak on również nie wyświetlił informacji o niebezpiecznych plikach. Na domiar złego, przy tworzeniu kolejno potrzebnych logów, a dokładnie przy uruchomieniu OTL pojawił mi się Blue Screen i nastąpiło ponowne uruchomienie komputera. W załączniku dolączam logi. Martwię się, czy coś poważniejszego dzieje się z komputerem, czy to tylko jakieś przejściowe, małe infekcje, ponieważ dotychczas ani razu nie miałam Blue Screena, ani takich problemów, które wymagały restartu komputera, pomimo że mam go już ponad 2 lata. Bardzo proszę o pomoc i z góry dziękuję. Pozdrawiam, Iza Addition.txt Extras.Txt FRST.txt gmer log.txt OTL.Txt Shortcut.txt malwarebytes log.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 System nie jest zainfekowany per se, tylko nieczynne odpadki adware. Tu jest infekcja routera. Ten pierwszy adres IP jest szkodliwy, ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {CACE5160-018A-4ECC-AFC4-CB782A04A6B1} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {D299E8CB-0686-46BD-9ABC-ED46A64931B4} - System32\Tasks\{F1EDAB2B-FA9D-4A42-9A0A-1D69801CCA03} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsProgressBar S3 cpuz134; \??\C:\Program Files (x86)\CPUID\PC Wizard 2010\pcwiz_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\Users\komp\AppData\Local\Temp*.html Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\desksvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Finalkaa Opublikowano 30 Października 2014 Autor Zgłoś Udostępnij Opublikowano 30 Października 2014 Bardzo dziękuję za tak szybką odpowiedź. Zmieniłam ustawienia DNS na 8.8.8.8 oraz 8.8.4.4, zamknęłam dostęp do panelu zarządzania z Internetu, a następnie uruchomiłam test, po czym wyświetliła się informacja, że: "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu.". Dołączam logi z FRST. Mogę już teraz powiedzieć, że komunikaty z programu Malwarebytes Anti-Malware zniknęły, za co jestem ogromnie wdzięczna! Pozdrawiam. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Wszystko wykonane poprawnie. Możemy kończyć: 1. Mała poprawka. Otwórz Notatnik i wklej w nim: FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń C:\Users\komp\Downloads\programy do robienia logów i zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starą dziurawą wersję Java 6 Update 20. . Odnośnik do komentarza
Finalkaa Opublikowano 30 Października 2014 Autor Zgłoś Udostępnij Opublikowano 30 Października 2014 Dziękuję za szybką odpowiedź. Zastosowałam się do rad i wyczyściłam wszystko jak należy. Dołączam log z DelFix, zgodnie z instrukcją podaną na forum. Bardzo dziękuję za pomoc, której mi udzielono. Jestem niezmiernie wdzięczna Pozdrawiam, Iza. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Zadanie wykonane. Możesz już usunąć plik C:\DelFix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi