Blokada serwerów Microsoft i innych oraz błąd WindowsUpdate

[Detrioux]

Witam. Borykam się z pewnym problemem którego nie jestem w stanie usunąć żadnym programem oraz nie mogę w zadnych logach odnaleźć trojana lub malware który wg. mnie podmienia adresy DNS i blokuje wszystkie adresy związane z MS. Dodatkowo nie mogę naprawić żadnym sposobem WU które znalazłem w internecie. 

 

Programy które wykorzystałem do usunięcia PUP-ów, Malware, Trojanów itd.

 

Malwarebytes Anti-Malware, AdwCleaner 5.031, SUPERAntiSpyware Proffesional, Emsisoft Anti-Malware dodatkowo używałem ComboFix'a oraz antywirusa Bitrefender Total Security. Niestety ale gdzieś podziały mi się logi z pierwszego, drugiego programu oraz Combofixa. 

 

Użyta była także komenda sfc /scannow która naprawiła pliki. 

Ogólnie komputer był bardzo zainfekowany a dzięki tym programom zostało usunięte ogólnie ok. 200 wirósów wraz z PUP'ami i malware oraz spyware + rejestr i pliki cookie. 

 

Dodatkowo ciągle tworzą się dziwne pliki co jakis czas na C:\. 

 

 

Byłbym wdzięczny za pomoc.

 

Ps. Komputer nie jest mój.

 

Addition.txt DxDiag.txt FRST.txt GMER.txt Shortcut.txt

[picasso]

Są tu ślady rozmaitych infekcji: trojan Ropest, infekcja szyfrująca dane CryptoWall (to te "dziwne" pliki, które pokazujesz na obrazku), usługa Tor oraz polityka IP blokującą aktywność sieciową. Jedna z przyczyn nabycia tego miotu to exploity Adobe, a w raporcie widać poważne grzechy. Będę także usuwać szczątki odinstalowanych programów.

 

Działania wstępne do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {08C3216B-74FF-4A82-9238-1F6018AC69B6} - System32\Tasks\{C7D1C61A-A881-4E7A-B7AE-6EE13F6B5F42} => pcalua.exe -a C:\Users\Ewa\Downloads\sp55843.exe -d C:\Users\Ewa\Downloads
Task: {0BD089E1-C774-4E66-8A81-966FD3808718} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {570F8FD4-21DD-4B9B-9F4A-FC5763A099B8} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-08-06] (Symantec Corporation)
Task: {7A01A985-859F-4074-B684-944FD459DE96} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA
Task: {9FDC1A5A-F628-4899-BA7F-C0A7426BB0B1} - System32\Tasks\WSManHTTPConfig => C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate\WSManHTTPConfig.exe <==== UWAGA
Task: {A61FA2F7-553F-40D8-8C4E-06B45EE2450A} - System32\Tasks\{5B13B85D-F3F9-4CD4-BBED-60A85CBA1736} => pcalua.exe -a C:\Users\Ewa\Downloads\sp52212.exe -d C:\Users\Ewa\Downloads
Task: {C4CCB51D-E46A-4338-A0EB-F4466214C617} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe
Task: {DD0067E7-D68E-4F02-AD3B-9D2FCB523D54} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_CN29P151HG05SZ => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe
Task: {F082FB45-D1F8-401A-8C8B-985604EEFEE7} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA
Task: {F98C0926-31A3-4AEF-B923-6E10251F54EF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-11] () [Brak podpisu cyfrowego] <==== UWAGA
S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe" [X]
S2 UPDATESRV; "C:\Program Files\Bitdefender\Bitdefender 2016\updatesrv.exe" /service [X]
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 EraserUtilRebootDrv; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X]
U3 fxldapow; \??\C:/Temp\fxldapow.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2996d584-b7e4-4160-b873-aef041cfcb50} <======= UWAGA (Ograniczenia - IP)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
Toolbar: HKU\S-1-5-21-2060724838-3934703078-1233277874-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx
HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\...\Run: [Bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender 2016\bdwtxag.exe"
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\Windows Live
RemoveDirectory: C:\Program Files\Common Files\AV\Norton Internet Security
RemoveDirectory: C:\Program Files (x86)\Draco - Faktury VAT
RemoveDirectory: C:\Program Files (x86)\Internet Mobilny
RemoveDirectory: C:\Program Files (x86)\iPlus
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\Program Files (x86)\Real
RemoveDirectory: C:\Program Files (x86)\Temp
RemoveDirectory: C:\Program Files (x86)\Tor
RemoveDirectory: C:\Program Files (x86)\Windows Live
RemoveDirectory: C:\ProgramData\Internet Mobilny
RemoveDirectory: C:\ProgramData\Norton
RemoveDirectory: C:\ProgramData\Real
RemoveDirectory: C:\ProgramData\RealNetworks
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CcpmSoft
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Draco - Faktury VAT
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Informator
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\Ewa\AppData\Local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}
RemoveDirectory: C:\Users\Ewa\AppData\Local\AVworks
RemoveDirectory: C:\Users\Ewa\AppData\Local\Facebook
RemoveDirectory: C:\Users\Ewa\AppData\Local\ITKsoft
RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Messenger
RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live
RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live Mail
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\_MDLogs
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\iPlus
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Opera Software
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Real
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\RealNetworks
RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate
RemoveDirectory: C:\Users\Ewa\M-505045204205054050886045405080
RemoveDirectory: C:\Windows\SoftwareDistribution.old
RemoveDirectory: C:\Windows\system32\CatRoot2Old
RemoveDirectory: C:\Windows\system32\oldcatroot2
RemoveDirectory: C:\Windows\System32\Tasks\Hewlett-Packard
RemoveDirectory: C:\Windows\System32\Tasks\Remediation
RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service
RemoveDirectory: C:\Windows\SysWOW64\dfrg
C:\ProgramData\Hewlett-Packard\HP Setup\launchreg.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk
C:\Users\Ewa\AppData\Roaming\*.*
C:\Users\Ewa\Desktop\GRAFIKI\grafik excel.lnk
CMD: netsh advfirewall reset
CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s
CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s
CMD: attrib -r -h -s E:\HELP_DECRYPT.* /s
CMD: del /q /s C:\HELP_DECRYPT.*
CMD: del /q /s D:\HELP_DECRYPT.*
CMD: del /q /s E:\HELP_DECRYPT.*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Odinstaluj niebezpieczne wersje oraz zbędne programy: Adobe Flash Player 11, Adobe Reader X (10.1.16) MUI, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, SUPERAntiSpyware.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być za duży i nie zmieścić się w załączniku, w takiej sytuacji shostuj go gdzieś i podaj link.

 

[Detrioux]

Ok. Troszkę to trwało, ponieważ musiałem na chwile oddać lapka, lecz zrobiłem tak jak mi podpowiedziałaś. Tylko chciałbym się dowiedzieć co zawiera i dlaczego miałem usunąć SUPERAntiSpyware ,Adobe Flash Player 11, Adobe Reader X (10.1.16) MUI. 

 

 

W logu są pewne rzeczy których nie znaleziono. Jeszcze przed twoją odpowiedzią droga Picasso ręcznie starałem się pousuwać wszystkie Ciekawe rzeczy związane z CryptoWall i wirusem Tor plus moja ingerencja z niektórymi usługami które powyłączałem; dla mnie one są zbędne dla zwykłego użytkownika systemu. Włączę i sprawdzę aktualizacje systemowe które już dawno nie zostały zainstalowane przez tych właśnie panów które blokowały mi połączenie z MS.

 

Addition.txt Fixlog.txt FRST.txt

[picasso]

Adresując stary zaległy temat:

 

 

Cytat

Tylko chciałbym się dowiedzieć co zawiera i dlaczego miałem usunąć SUPERAntiSpyware ,Adobe Flash Player 11, Adobe Reader X (10.1.16) MUI.

 

Programy Adobe w starych niebezpiecznych wersjach, zagrożenie exploitami i infekcjami m.in. szyfrującymi dane, co tu definitywnie miało miejsce. Natomiast SUPERAntiSpyware traktowany jako "zbędny program", jego właściwości usuwające są dziś bardzo słabe, nie jest już polecany na forach usuwania malware.

 

W każdym razie dostarczone raporty wskazują, że prawie wszystko zostało pomyślnie wykonane (z wyjątkiem przeczyszczenia autoryzacji w Zaporze systemowej, komenda netsh zwróciła błąd). Nie wiem czy nadal masz dostęp do tego komputera, ale wypadałoby wykonać jeszcze:

 

1. Doczyszczenie autoryzacji i Tempów przy udziale poniższego skryptu FRST:

 

FirewallRules: [{E6A649FE-39F0-42E5-87F6-BDED50247BDD}] => (Allow) C:\Windows\SysWOW64\dfrg\minerd.exe
FirewallRules: [{719917DC-C6C0-4568-A73B-6CD8A5C14850}] => (Allow) C:\Windows\SysWOW64\dfrg\minerd.exe
FirewallRules: [{A556DD87-01FB-4BEE-8232-6C84D8EB5728}] => (Allow) C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
FirewallRules: [{34BC113D-4470-44B3-BF57-2DD39E9649B6}] => (Allow) C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
FirewallRules: [{CF97C6F5-94DF-4DD6-B1E3-EE2262BF4049}] => (Allow) C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
FirewallRules: [TCP Query User{91570C2C-BA8E-4AA3-87E2-A6417A6DCF0D}C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe] => (Block) C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe
FirewallRules: [UDP Query User{8E17E1A2-1F3A-4905-9454-EA7BC8D4B491}C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe] => (Block) C:\users\ewa\appdata\local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30}\syshost.exe
EmptyTemp:

 

2. Diagnostyka poniższego odczytu z FRST Addition:

 

==================== Punkty Przywracania systemu =========================

Sprawdź usługę "winmgmt" lub napraw WMI.

 

3. Czynności końcowe z wiadomego tematu: KLIK.

 

Edytowane 23 Stycznia 2020 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso