Element Opublikowano 4 Listopada 2015 Zgłoś Udostępnij Opublikowano 4 Listopada 2015 Witam, Mam dosc dziwny problem. Na Chromie i Firefoxie nie moge wejsc na zadna strone, ktora nie jest szyfrowana. Wszystkie z HTTPS dzialaja normalnie. Co dziwne w IE nie ma tego problemu. Nie mam firewalla zadnego (mialem Comodo Internet Security, ale usunalem bo myslalem, ze to jego sprawka, ale niestety nie) Jak mam wlaczonego Fiddlera (proxy) to wszystko dziala normalnie. Na innym kompie w tej sieci wszystko dziala bez problemu. DNS'y sprawdzalem rozne, aktualnie mam googlowskie 8.8.8.8 i 8.8.4.4 FRST: http://wklej.to/sm7s4/text Addition http://wklej.to/bMHHV/text Shortcut: http://wklej.to/HSCRH/text W akcie desperacji puściłem rano jeszcze Combofixa (przed FRST) http://wklej.to/XtRRr/text Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 4 Listopada 2015 Zgłoś Udostępnij Opublikowano 4 Listopada 2015 Jest tu infekcja ładowana via AppInit_DLLs: AppInit_DLLs: C:\ProgramData\BluetoothPoint\Stockzap.dll => C:\ProgramData\BluetoothPoint\Stockzap.dll [518656 2015-10-25] () AppInit_DLLs-x32: C:\ProgramData\BluetoothPoint\Y--Lux.dll => C:\ProgramData\BluetoothPoint\Y--Lux.dll [320512 2015-10-25] () Będę też korygować różne błędy w Dzienniku zdarzeń (poprzez usunięcie niekompatybilnych sterowników) oraz usuwać puste wpisy i skróty. Dziennik System: ============= Error: (11/04/2015 01:15:51 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: luafv Error: (11/04/2015 01:14:56 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi port_nt z powodu następującego błędu: %%1275 Error: (11/04/2015 01:14:56 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\c:\windows\SysWow64\drivers\port_nt.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (11/04/2015 01:14:21 PM) (Source: Service Control Manager) (EventID: 7002) (User: ) Description: Usługa Intel Hardware Monitor zależy od grupy MS Transactions, a nie uruchomiono żadnego członka tej grupy. Error: (11/04/2015 01:14:15 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi BluetoothPoint z powodu następującego błędu: %%2 Uruchomienie ComboFix nie było potrzebne. On na dodatek uszkodził pewne poprawne aplikacje: c:\program files (x86)\DFX\DFX.exe c:\users\Element\AppData\Roaming\dropf c:\users\Element\AppData\Roaming\dropf\dropf.xml c:\users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\3RVX.lnk Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i inne: Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader 9.5.0 - Polish, BluetoothService (adware!), Intel Hardware Monitor, Java 8 Update 45, Opera 12.17, SpyHunter 4 (wątpliwy skaner!), Windows Media Player Firefox Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\BluetoothPoint\Stockzap.dll => C:\ProgramData\BluetoothPoint\Stockzap.dll [518656 2015-10-25] () AppInit_DLLs-x32: C:\ProgramData\BluetoothPoint\Y--Lux.dll => C:\ProgramData\BluetoothPoint\Y--Lux.dll [320512 2015-10-25] () S2 BluetoothPoint; C:\ProgramData\\BluetoothPoint\\BluetoothPoint.exe -f "C:\ProgramData\\BluetoothPoint\\BluetoothPoint.dat" -l -a S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 PortTalk; C:\Windows\System32\Drivers\PortTalk.sys [3567 2009-01-18] (Beyond Logic http://www.beyondlogic.org) [brak podpisu cyfrowego] S3 PortTalk; C:\Windows\SysWOW64\Drivers\PortTalk.sys [3567 2002-01-12] (Beyond Logic http://www.beyondlogic.org) [brak podpisu cyfrowego] S2 port_nt; c:\windows\SysWOW64\drivers\port_nt.sys [3608 2000-10-23] () [brak podpisu cyfrowego] Task: {8D4C3AFE-DACD-4CA0-AEED-C06557B7E1DF} - System32\Tasks\{A32184F2-00F7-45AF-B1C1-E273E0B12AAA} => pcalua.exe -a "D:\vuze downloads\BullZip PDF Printer 3.0.0.352 -LegalTorrents\BullzipPDFPrinter_3_0_0_352.exe" -d "D:\vuze downloads\BullZip PDF Printer 3.0.0.352 -LegalTorrents" HKLM\...\Run: [tvncontrol] => "C:\Program Files\TightVNC\tvnserver.exe" -controlservice -slave HKLM-x32\...\Run: [Resume copy] => copyfstq.exe /startup HKLM-x32\...\Run: [DFX] => C:\Program Files (x86)\DFX\DFX.exe -startup HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\BluetoothPoint C:\ProgramData\COMODO C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{F73AE6C3-5504-4A84-8EDA-12124F837976} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Bridge CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Device Central CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Stock Photos CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Todo Backup Free 8.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Projektuj i Kupuj 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vista Anti-Lag C:\Users\Element\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Element\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Microsoft Office Excel 2007.lnk C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012 C:\Users\Element\Documents\InsERT GT\sumeeko.lnk C:\Windows\System32\Drivers\PortTalk.sys C:\Windows\SysWOW64\Drivers\PortTalk.sys C:\Windows\SysWOW64\Drivers\port_nt.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware isearch.omiga-plus.com, do-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware delta-homes.com 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator > rozwiń Dzienniki systemu Windows > z prawokliku opróżnij Aplikacja i System. Zresetuj system. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Odnośnik do komentarza
Element Opublikowano 4 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2015 Ok, zrobiłem wszystko i jest sukces Strony wchodzą jak należy zarówno na Chromie i FF. Dzięki wielkie. Fixlog: http://wklej.to/Dq4RT/text FRST: http://wklej.to/MfBWA/text Addition: http://wklej.to/Q4N2E/text Odnośnik do komentarza
picasso Opublikowano 4 Listopada 2015 Zgłoś Udostępnij Opublikowano 4 Listopada 2015 Prawie wszystko zrobione. Nadal jednak są pewne błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (11/04/2015 11:07:22 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: luafv Error: (11/04/2015 11:05:59 PM) (Source: Service Control Manager) (EventID: 7002) (User: ) Description: Usługa Intel Hardware Monitor zależy od grupy MS Transactions, a nie uruchomiono żadnego członka tej grupy. Pierwszy błąd nadal wymaga analizy, a drugi nie zniknął, gdyż deinstalacja "Intel Hardware Monitor" była niekompletna - została usługa, która próbuje się uruchamiać. Kolejna porcja czynności: Otwórz Notatnik i wklej w nim: S2 Intel Hardware Monitor; C:\Program Files (x86)\Intel\iWHMService\iWHMService.exe [57344 2008-11-16] () [brak podpisu cyfrowego] C:\Program Files (x86)\Intel\iWHMService CMD: copy /y "C:\Qoobox\Quarantine\C\program files (x86)\DFX\DFX.vir" "C:\Program Files (x86)\DFX\DFX.exe" Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\luafv /s File: C:\Windows\system32\drivers\luafv.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. Odnośnik do komentarza
Element Opublikowano 5 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2015 FIXLOG http://wklej.to/MCduq Odnośnik do komentarza
Rekomendowane odpowiedzi