Problem z otwieraniem stron.

[wwd]

Od niedawna mam problem z otwieraniem stron. Podczas otwierania pojawia się komunikat:

Ta witryna jest nieosiągalna

Nie udało się znaleźć adresu DNS serwera..........

Początkowo było to bardzo rzadkie więc nie zwracałem uwagi. Wczoraj natomiast co druga próba otwarcia strony kończyła się powyższym komunikatem.

Myślałem że to wina router ale przy połączeniu przez modem (Dialog przez BSA), sytuacja była ta sama.

Dzisiaj przywróciłem system z dwóch tygodni wstecz i problem był ten sam. Nie mogę cofnąć się bardziej ponieważ mam zainstalowane kilka programów których 

nie da się ponownie aktywować.

Na razie wpisałem w router adresy DNS 8.8.8.8 i 8.8.4.4 i problem nie występuje ale przeskanowałem system programem RepairDNS (kolega mi taki polecił) i wykrył on dużo"Hickjacker.DNS.Hosts", co ciekawe inny program tego typu - CleanDNS nie wykrył niczego.

System przeskanowany MBAM oraz HitmanPro i nic nie wyszło.

Proszę o przeglądnięcie logów.

 

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Na przyszłość: nie wykonuj skanu FRST w momencie gdy skan MBAM jest w toku. To powoduje ujawnienie w raporcie FRST tymczasowo montowanych przez MBAM gałęzi rejestru, które są repliką docelowych gałęzi.

 

W raportach brak oznak infekcji. Do wykonania będą potem tylko drobne działania na wpisy puste, co nie ma żadnego wybitnego znaczenia.

 

 

Na razie wpisałem w router adresy DNS 8.8.8.8 i 8.8.4.4 i problem nie występuje ale przeskanowałem system programem RepairDNS (kolega mi taki polecił) i wykrył on dużo"Hickjacker.DNS.Hosts", co ciekawe inny program tego typu - CleanDNS nie wykrył niczego.

Obecnie FRST nie wskazuje na naruszenia systemowego pliku dnsapi.dll. Zaprezentuj raporty z obu programów. Być może różnica w detekcji wynika z kolejności uruchomienia programów.

 

Dodatkowa uwaga, pobierałeś program z jakiegoś dziadoskiego portalu z Asystentem pobierania, to nie jest oryginalny plik tylko śmieć planujący ładowanie adware w system. Poprawne linki pobierania w przyklejonym: KLIK.

 

2017-09-17 12:08 - 2017-09-17 12:08 - 000001087 _____ C:\Users\dx-tech\Desktop\Kontynuuj instalację RepairDNS.lnk

[wwd]

Dziękuję za odpowiedź

 

Dodatkowa uwaga, pobierałeś program z jakiegoś dziadoskiego portalu z Asystentem pobierania, to nie jest oryginalny plik tylko śmieć planujący ładowanie adware w system. Poprawne linki pobierania w przyklejonym: KLIK.

 

2017-09-17 12:08 - 2017-09-17 12:08 - 000001087 _____ C:\Users\dx-tech\Desktop\Kontynuuj instalację RepairDNS.lnk

Link do pobrania programu DNSRepair z tego forum nie działa - pobiera plik permission-denied.txt z zawartością "You don't have permission to download this file"

 

Jeszcze raz wrzucam skany, raport z repair DNS jest w formacie jpeg ponieważ z programu nie można skopiować.

Clean_DNS.txt

[picasso]

A rzeczywiście, widzę że narzędzie usunięte, potem poprawię link lub zamienię opis. Raporty z FRST są zbędne (usuwam), one pokazują to samo co przedtem, a dla mnie jest jasne które gałęzie są montowane przez MBAM (jednoznaczne nazwy gałęzi) i nie potrzebuję nowych raportów by to samodzielnie "przefiltrować".

 

Pliki dnsapi.dll nie są wykryte jako naruszone. Moim zdaniem to jest jakiś błąd w RepairDNS, być może ściągnąłeś jakąś wadliwą wersję z bugami (które naprawiono później), albo program właśnie wycofano ze względu na błędy. Żadnych oznak, by przyczyną kłopotów była infekcja.

 

 

PS. A co do tej wspominanej kosmetyki, to w spoilerze drobny skrypt do FRST. Zakładam, że ShadowDefender nie odkręci zmian.

 

 

 

 

1. Nie jest Ci potrzebna wersja Adobe Flash NPAPI - to wariant pod Firefox i pochodne, brak oznak takich instalacji.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
HKU\S-1-5-21-618257460-3239430686-1694033563-1000\...\Run: [] => [X]
SearchScopes: HKU\S-1-5-21-618257460-3239430686-1694033563-501 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Kaspersky Protection plugin -> {C66D064F-82FE-4E1A-B06A-B2490BA48B18} -> Brak pliku
Toolbar: HKLM - Kaspersky Protection toolbar - {3507FA00-ADA2-4A02-99B9-51AD26CA9120} - Brak pliku
CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{004B49B7-11B9-5058-AA22-08DD0A3ADC4B}\InprocServer32 -> {181AA46E-9468-D082-3834-6BE985889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {18BB54C4-9468-D082-92C4-CAE985889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{DD0822AA-3A0A-4BDC-B749-4B00B9115850}\InprocServer32 -> {54201501-9468-D082-5785-51A585889A47} => Brak pliku
CustomCLSID: HKU\S-1-5-21-618257460-3239430686-1694033563-1000_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {54039E11-9468-D082-470E-72A585889A47} => Brak pliku
Task: {545D95AF-1CF8-4FDA-ADC1-5C39A785B4F9} - System32\Tasks\{B434A3BC-F1A3-40EC-99C6-CCB78D9672B8} => C:\Windows\system32\pcalua.exe -a C:\Users\dx-tech\Downloads\SD1.4.0.648_Setup.exe -d C:\Users\dx-tech\Desktop
Task: {6B3D60FA-80ED-4882-B1B8-B91DC18967C6} - System32\Tasks\{002C9BFF-9889-4260-BCC9-2F6516AC9756} => C:\Windows\system32\pcalua.exe -a C:\Users\dx-tech\Downloads\SD1.4.0.636_Setup.exe -d C:\Users\dx-tech\Desktop
Task: {7784BA26-E8D1-40FE-8E49-0F66BF491FB0} - System32\Tasks\{EB184632-9583-49EE-8686-6A60B4115B19} => C:\Windows\system32\pcalua.exe -a "C:\Users\dx-tech\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M5HA1FRT\SD1.4.0.629_Setup.exe" -d C:\Users\dx-tech\Desktop
Task: {91B802BE-8D56-4F36-AE4E-692113AD5D90} - \NordVPN -> Brak pliku 
Task: {B1B0F6B0-E7E6-4CBE-800F-FB4A44A9B01F} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_25_0_0_148_pepper.exe
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Zaprezentuj go.

 

 

 

[picasso]

RepairDNS wycofany został ze względu właśnie na fałszywe alarmy: KLIK. Jak podane w linku, początkowo fałszywe alarmy na Windows 7, potem też na Windows 10. Autor stwierdził, że nie będzie poszukiwał przyczyn (prawdopodobnie wynik którejś aktualizacji Windows) tylko wycofa program, gdyż tę infekcję i tak wykrywają obecnie wszystkie główne antywirusy.

[wwd]

Zrobione, po zabiegu nie działa Magager haseł - roboform w operze - "Can't load roboform plugin"

 

Edit: działa - reinstall załatwił sprawę.

 

Dziękuję za pomoc

[picasso]

Nie przedstawiłeś pliku Fixlog.txt.

 

Zrobione, po zabiegu nie działa Magager haseł - roboform w operze - "Can't load roboform plugin"

Nie wiem z jakiej przyczyny, gdyż skrypt FRST nie ruszał tego (ani powiązanych komponentów Roboform):

 

OPR Extension: (RoboForm Password Manager) - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome [2016-12-18]

[wwd]

Tym bardziej nie wiem, może zbieg okoliczności...