Skocz do zawartości

Problem z internetem: witryna nieosiągalna, urządzenie nie umożliwia akceptowania połączeń


Rekomendowane odpowiedzi

Witam.

 

Po próbie wejścia na niektóre strony pojawia się komunikat witryna jest nieosiągalna. Po diagnostyce informacja Konfiguracja urządzenia lub zasobu nie umożliwia akceptowania połączeń przy użyciu portu Usługa World Wide (HTTP)

 

Dwa dni wcześniej usuwałam piesearch, na chwilę obecną mam jeszcze problem z reklamami BestDeals

 

Załączam wyniki skanu programem FRST

 

Proszę o pomoc

 

Pozdrawiam

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Liczne problemy infekcyjne w systemie:

- Infekcja DNS Unlocker (zadanie PowerShell w Harmonogramie i zmodyfikowane masowo serwery DNS przekierowujące na izraelskie IP)

- Uruchomiony fałszywy klon Google Chrome jIxmRfR ze zintegrowanym adware, ustawiony jako domyślna przeglądarka, który podmienił wszystkie skróty Google Chrome. Przypuszczalnie wydaje Ci się, że uruchomiłaś Google Chrome, a to podróbka.

- Problem pieserch także nie rozwiązany (zmodyfikowane skróty przeglądarek i preferencje Firefox).

 

 

Akcje do wykonania:

 

1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Application Support, Apple Software Update, Java 8 Update 40, Gadu-Gadu 10, Opera 10.50, QuickTime. Tak, cały majdan Quicktime, ponieważ ostatnio wykryto poważną lukę w programie, Apple się wypięło i usuwa wsparcie dla Windows, zalecana kompletna deinstalacja.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 DeskTop_F; C:\ProgramData\desktopfind\desktop244.exe [236728 2016-03-16] (DeskTopService)
R2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] ()
S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] ()
Task: {2D111878-3D8C-419B-ADDE-2C07AD40D75B} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] ()
Task: {2D3FB577-46E9-4516-9F40-65F56CC11E63} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\CE27B5CEDB198923421F52D8D274356E\Update\BrowserUpdate.exe [2016-04-08] (Tencent) 
Task: {2E125864-79D1-4527-ABE8-403129516330} - System32\Tasks\{163E9032-7509-4DB5-9B49-2C9F925F1F05} => pcalua.exe -a C:\Users\OEM\Downloads\chromeinstall-7u67.exe -d C:\Users\OEM\Downloads
Task: {329BC00C-CC95-40D7-ABB0-AA6DDBFEA258} - System32\Tasks\{B09836DB-37DC-4E1A-8ADC-0823D06892C0} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
Task: {4510E2CF-C195-4129-91E3-2BA3136E3D30} - System32\Tasks\{50319244-F92C-4AF6-BADA-4AF495E42C1C} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
Task: {51850AE3-AD21-433A-BE99-DDAE9893375F} - System32\Tasks\{0C0B7A47-7A0B-0E7F-7E11-0D7A0508110D} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej). 
Task: {7D5718D0-2CF9-43F4-83AC-8272570ABDCB} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater – Install HPSA Logon Task => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe
Task: {7D9F93C0-67D4-4D00-A2CF-0AB69B7B7076} - System32\Tasks\{2E97FE42-6004-45C2-BEFB-A603AE56EA6B} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
Task: {8DC7FCD3-28D4-4244-B2C0-C74C781B447A} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] ()
Task: {A447D529-E569-4BD9-8483-4ECA5FCA3A52} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-02-03] () 
Task: {B72FD7B7-0FE1-45BE-ADD5-DBE410A14A33} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] ()
Task: {F95473AA-C127-4614-8397-FC0CFA50B19C} - System32\Tasks\{9A821CF0-9181-49A8-B0EC-2ABE2EBE8768} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [GoogleChromeAutoLaunch_344DDB7B60937B1E369F7AD19F7CD062] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.)
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [793893109BBBD53AF57A2AEA9CEEF7B06516C20F._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}
HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}
SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {6C0B584D-6935-4C23-84CA-9371887E42F5} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {D8DEF47E-1B7D-48B0-986F-3FEE2334582A} URL = hxxp://search.us.com/serp?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}&k={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd
CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{9506D651-7D0D-4122-8524-9FD5F47614CD}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{ADF0E688-D307-4D46-9A33-584F845183CD}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{DC85143D-8AE0-4F46-9CC2-2DC2B61D52D0}: [NameServer] 82.163.142.7 95.211.158.134
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Classes\jIxmRfRHTM
DeleteKey: HKCU\Software\Clients\StartMenuInternet\jIxmRfRHTM
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera
DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f
Reg: reg delete HKCU\Software\RegisteredApplications /v jIxmRfRHTM /f
Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f
C:\Program Files (x86)\jIxmRfR
C:\Program Files (x86)\QQBrowser
C:\Program Files (x86)\SearchesToYesbnd
C:\Program Files (x86)\WinTaske
C:\Program Files (x86)\WinZipper
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\desktopfind
C:\ProgramData\jIxmRfR
C:\ProgramData\XwinpX
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TopWare Interactive
C:\Users\OEM\AppData\Local\jIxmRfR
C:\Users\OEM\AppData\Roaming\Drimar
C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\OEM\Desktop\Pressure.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Windows\system32\log
C:\Windows\SysWOW64\pl.html
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Ręcznie zrób skróty przeglądarki na Pulpicie / Pasku zadań i w Menu Start.
Wybraną przeglądarkę ustaw jako domyślną, by przebiła ustawienia fałszywego klona.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

O jakie konkretnie strony chodzi, może z prefiksami https? I czy to na pewno wynik infekcji? W systemie działa też pakiet Avast Internet Security z firewallem i osłoną web, co także może mieć coś do rzeczy. W Dzienniku zdarzeń jest nawet błąd ładowania jednego ze składników:

 

Dziennik System:

=============

Error: (04/26/2016 07:06:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

aswNetSec

 

vs.

 

S1 aswNetSec; C:\Windows\system32\drivers\aswNetSec.sys [552880 2016-02-24] (AVAST Software)

 

 

Prawie wszystko wykonane. Kolejna porcja zadań:

 

1. Na próbę odinstaluj Avast Internet Security i zresetuj system, by sprawdzić czy to ma związek z problemem stron. Potem go ewentualnie zainstalujesz ponownie.

 

2. Odinstaluj stary sterownik SPTD pozostawiony po deinstalacji DAEMON Tools posługując się narzędziem SPTDinst.

 

3. Otwórz Notatnik i wklej w nim:

 

Task: {7523F310-F624-4DC8-A9B3-738902BED371} - \jIxmRfRCheckTask -> Brak pliku 
Task: {75A31E1F-80AE-414C-ABF3-3EC50865E12A} - \jIxmRfRBrowserUpdateUA -> Brak pliku 
Task: {F69E5E56-7F72-4A5C-9060-210818F33239} - \jIxmRfRBrowserUpdateCore -> Brak pliku 
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Adobe
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\ProgramData\Adobe
CMD: del /q C:\Users\OEM\AppData\Local\{AEFCAA06-3105-4DA4-B367-6D50F50C322B}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

4. Uruchom FRST, w polu Szukaj wklej:

 

jIxmRfR

 

Klik w Szukaj w rejestrze i przedstaw wynikoy log.

Odnośnik do komentarza

Czy mogę już zainstalować na powrót Avasta?

Czyli mam rozumieć, że problem z nieładowaniem stron ustąpił po jego deinstalacji? Avasta przywrócisz po ukończeniu czyszczenia systemu z adware, bo tu jeszcze sporo przed nami.

 

 

Czy przez obecność tych wszystkich dziwnych rzeczy moje konto bankowe na które się logowałam jest jakoś zagrożone?

Nie sądzę, aczkolwiek po ukończeniu czyszczenia dla świętego spokoju możesz zmienić login do banku.

 

 

Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASAPI32
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASMANCS
DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\jIxmRfR
DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8011fc28_0
Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f
Reg: reg delete "HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza

Jeszcze drobne korekty na odpadki po Avast:

 

1. W Google Chrome odinstaluj rozszerzenie Avast Online Security.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {0BC0C6E7-54FC-4D09-A422-C6E1AB297E2D} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
S4 sptd; System32\Drivers\sptd.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\avast! sandbox
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza

Skoro go nie widać, to może folder na dysku jest odpadkiem. Do powyższego skryptu FRST doklej jeszcze te dwie linie:

 

RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
RemoveDirectory: C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gomekmidlodglbbmalcneegieacbdmki

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...