Ostatnim czasem trochę problemów

[Niezauwazalny]

Przeglądarki często nie reagują gdy klikam w odnośniki,ogólny spadek wydajności i wyłączający się counter strike global offensive,

FRST.txt - Dostępne tylko dla zarejestrowanych użytkowników
Addition.txt - Dostępne tylko dla zarejestrowanych użytkowników
Shortcut.txt - Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Oprócz infekcji Adware widzę tu infekcje DNS Routera:

Tcpip\..\Interfaces\{22bd4d28-ef25-4b3c-9817-57be09449af4}: [DhcpNameServer] 37.46.122.62 8.8.4.4
Tcpip\..\Interfaces\{2cb570f1-32e5-4f3d-ba8b-17d25aae8b10}: [DhcpNameServer] 37.46.122.191 8.8.4.4

Poniższy adres nie jest polski: Dostępne tylko dla zarejestrowanych użytkowników.

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4


• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: Dostępne tylko dla zarejestrowanych użytkowników. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

2. Otwórz notatnik i wklej:

CloseProcesses:
R4 WinDivert1.1; C:\Windows\Shell&ServicesEngine_22122015122411\WinDivert64.sys [38064 2015-09-16] (Basil)
U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X]
S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X]
S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X]
S3 mdareDriver_60; Brak ImagePath
S3 mdareDriver_61; Brak ImagePath
S2 winService; C:\WINDOWS\SysWOW64\updtSer\winService.exe [23552 2015-10-11] () [Brak podpisu cyfrowego]
R2 Shell&ServicesEngine22122015122411; C:\Windows\Shell&ServicesEngine_22122015122411\Shell&ServicesEngine22122015122411.exe [8192 2015-11-03] () [Brak podpisu cyfrowego] <==== UWAGA
R2 Shell&ServicesEngine22122015122411_updater_service; C:\Windows\Shell&ServicesEngine_22122015122411\Shell&ServicesEngine22122015122411_updater_service.exe [6144 2015-11-03] () [Brak podpisu cyfrowego] <==== UWAGA
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
2015-12-10 10:21 - 2015-12-10 15:05 - 00000000 ____D C:\WINDOWS\Shell&ServicesEngine_10122015102022
2015-12-09 18:01 - 2015-12-10 10:20 - 00000000 ____D C:\WINDOWS\Shell&ServicesEngine_09122015180050
C:\WINDOWS\SysWOW64\updtSer
Task: C:\WINDOWS\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_228_pepper.exe
Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
Task: {38A29201-2DF5-4C61-8955-D27387B62910} - System32\Tasks\Driver Booster SkipUAC (Gracjan) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {4A870EE1-A662-4BD3-8482-DAA08BD1CBCD} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_228_pepper.exe [2015-12-09] (Adobe Systems Incorporated)
Task: {6B605080-FA62-40F7-A155-267820AE2793} - System32\Tasks\Adobe Flash Player Updater => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-12-09] (Adobe Systems Incorporated)
Task: {7985D6C5-0FA2-4160-8466-97F3DC479251} - System32\Tasks\Opera scheduled Autoupdate 1450451278 => C:\Program Files (x86)\Opera\launcher.exe [2015-12-15] (Opera Software)
Task: {8E877085-5E67-45D5-9719-9B8AF60E26A5} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-12-08] (Piriform Ltd)
CMD: ipconfig /flushdns
CMD: netsh firewall reset
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj i wklej nowe logi z FRST.

[Niezauwazalny]

Ale proszę pana ja nie mam routera,mam modem HUAWEI,jak mam się do niego zalogować,nie rozumiem

coś takiego

[djarta]

W pasku adresu stron WWW: Dostępne tylko dla zarejestrowanych użytkowników
Login i hasło: admin admin (literki A mogą być też z dużej litery).

[Niezauwazalny]

Komunikat z Edge nie można nawiązać połączenia,z opery strona niedostępna

[djarta]

Zobacz jeszcze adresy: Dostępne tylko dla zarejestrowanych użytkowników

Oraz: 192.168.43.1

Jeżeli dalej nic się nie wyświetla to omiń punkt pierwszy.

[Niezauwazalny]

Niestety to samo,to pewnie exploit kit podczas przeglądania stron prawda? już robię FRST

-- 23 gru 2015, 11:38 --

ale jak mogło do tego dojść buszuje wszędzie odkąd pamiętam i nigdy nic nie złapałem

-- 23 gru 2015, 11:47 --

Fixlog.txt - Dostępne tylko dla zarejestrowanych użytkowników ,wyczytałem że nie wszystko usunęło pomylśnie...

-- 23 gru 2015, 12:05 --

AdwCleaner[S3].txt - Dostępne tylko dla zarejestrowanych użytkowników

-- 23 gru 2015, 12:10 --

JRT.txt - Dostępne tylko dla zarejestrowanych użytkowników

-- 23 gru 2015, 12:16 --

FRST.txt - Dostępne tylko dla zarejestrowanych użytkowników

-- 23 gru 2015, 12:17 --

Addition.txt - Dostępne tylko dla zarejestrowanych użytkowników

-- 23 gru 2015, 12:18 --

Shortcut.txt - Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
Tcpip\..\Interfaces\{22bd4d28-ef25-4b3c-9817-57be09449af4}: [DhcpNameServer] 37.46.122.62 8.8.4.4
Tcpip\..\Interfaces\{2cb570f1-32e5-4f3d-ba8b-17d25aae8b10}: [DhcpNameServer] 37.46.122.191 8.8.4.4
C:\WINDOWS\Shell&ServicesEngine_11122015101101
C:\WINDOWS\Shell&ServicesEngine_22122015122411
C:\Users\Gracjan\AppData\Local\Google
C:\Program Files (x86)\Google
C:\Users\Gracjan\AppData\Roaming\Mozilla\Firefox\Profiles\gpxtww52.default\user.js
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494
RemoveProxy:
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Google Chrome:

• Zresetuj synchronizację (o ile włączona): Dostępne tylko dla zarejestrowanych użytkowników.


• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.


• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{22bd4d28-ef25-4b3c-9817-57be09449af4}]
"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{22bd4d28-ef25-4b3c-9817-57be09449af4}]
"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2cb570f1-32e5-4f3d-ba8b-17d25aae8b10}]
"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2cb570f1-32e5-4f3d-ba8b-17d25aae8b10}]
"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DhcpNameServer"="8.8.8.8"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG


Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Restart systemu.

4. Wykonaj i wklej nowe logi z FRST.

[Niezauwazalny]

Ok,ale ja nie mam google chrome,tylko Edge i Operę

[djarta]

Oki, prawda. To omiń 2 punkt.

[Niezauwazalny]

Fixlog.txt - Dostępne tylko dla zarejestrowanych użytkowników

klkbdflt2 => serwis niepowodzenie przy usuwaniu

-- 23 gru 2015, 14:35 --

Wartości wprowadzone pomylśnie do rejestru

-- 23 gru 2015, 14:38 --

FRST.txt - Dostępne tylko dla zarejestrowanych użytkowników
Addition.txt - Dostępne tylko dla zarejestrowanych użytkowników
Shortcut.txt - Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

DNS się naprawił, wszystko wydaje się w porządku.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[Niezauwazalny]

aaa to sterownik Kaspersky'ego Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Tak, jest wykrzaczony.

[Niezauwazalny]

Zrobione,czysto można zamykać.Dziękuję djarta .