Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Dns unlocker i yxo.warmportrait (FRST)

katharsis_ 27 Maj 2016 16:18 567 5
  • #1 27 Maj 2016 16:18
    katharsis_
    Poziom 2  

    Witam:)
    Od jakiegoś czasu mam problem z DNS Unlocker i yxo.warmportrait. Na jakąkolwiek stronę internetową bym nie weszła, przy prawie każdym kliknięciu otwiera mi inną stronę, nie wspominając o uciążliwych reklamach, które są niewidoczne, aż najedzie się na nie myszką. Nie da się tego usunąć poprzez panel sterowania, ponieważ nawet się nie pokazuje, a antywirus zawodzi. Gdzieś widziałam, że ktoś pozbył się tego przez FRST, ale jestem w tym całkowicie zielona i nie mam pojęcia jak napisać skrypt :(
    Załączam logi.

    PS. Przepraszam, jeśli umieściłam to na złym forum, ale jak już wspominałam, kompletnie się na tym nie znam, a na elektroda.pl trafiłam przypadkiem :)

    0 5
  • #2 27 Maj 2016 17:06
    krzychupar
    Poziom 40  

    Odinstaluj:
    ByteFence Anti-Malware (HKLM-x32\...\ByteFence) (Version: 2.1.1.6 - Byte Technologies LLC) <==== ATTENTION
    McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.309.1 - McAfee, Inc.)
    MyPC Backup (HKLM\...\OLBPre) (Version: - MyPC Backup) <==== ATTENTION
    One System Care (HKLM-x32\...\OneSystemCare) (Version: 2.10.10.0 - OneSystemCare) <==== ATTENTION
    Your download is ready Packages (HKU\S-1-5-21-3382412400-697734093-2633612492-1001\...\Your download is ready Packages) (Version: - ) <==== ATTENTION

    Otwórz notatnik i wklej:
    Task: {175ACFEE-3944-4FC7-86BA-DB8E332DEB52} - \SpyHunter4Startup -> No File <==== ATTENTION
    Task: {4C7E69D0-33B8-4382-A6FF-223DE1B7CACC} - System32\Tasks\One System Care Run Delay => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-01-18] () <==== ATTENTION
    Task: {560E2C61-7454-45BF-AAF5-C575CD8C7034} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-01-18] () <==== ATTENTION
    Task: {8F587DE2-955C-449E-A338-F32394FFAB40} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [2016-01-18] () <==== ATTENTION
    Task: {ABC9E0BC-B5CE-4C8F-999A-C6F3CC8D9C16} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) <==== ATTENTION
    Task: {AFC46641-E969-4B22-A5AB-990C478A3AAC} - System32\Tasks\One System Care Task => C:\Program Files (x86)\OneSystemCare\SystemConsole.exe [2016-01-18] () <==== ATTENTION
    Task: {B2725554-B818-4BFA-A59E-BF658DE15296} - System32\Tasks\{0E7E0447-0A78-0A08-7811-0D0A797F1109} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (the data entry has 9568 more characters). <==== ATTENTION
    Task: {B4E9EBF3-1F58-4C85-9390-CE256E5A493E} - \Go_Palikan -> No File <==== ATTENTION
    Task: {C26BF602-54A1-43D1-9153-BFCFDAB7CEE0} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) <==== ATTENTION
    Task: {F34674BF-D036-4346-AA0A-431AFCF064E3} - \{A4FE995F-7C7A-794D-2F70-2B275D3D4D62} -> No File <==== ATTENTION
    Task: C:\WINDOWS\Tasks\Go_Palikan.job => <==== ATTENTION
    Task: C:\WINDOWS\Tasks\One System CarePeriod.job => <==== ATTENTION
    Hosts:
    () C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe
    (McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe
    Startup: C:\Users\Patrycja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk [2016-01-22]
    ShortcutTarget: MyPC Backup.lnk -> C:\Program Files (x86)\OLBPre\OLBPre.exe (No File)




    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-04-10]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe (McAfee, Inc.)
    Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
    Tcpip\..\Interfaces\{388acaa3-8ecb-4322-b232-ba6b4c54f427}: [NameServer] 82.163.142.7 95.211.158.134
    Tcpip\..\Interfaces\{388acaa3-8ecb-4322-b232-ba6b4c54f427}: [DhcpNameServer] 82.163.142.7
    Tcpip\..\Interfaces\{8f1b593c-9700-44cb-9e8f-cf015261b3a4}: [NameServer] 82.163.142.7 95.211.158.134
    Tcpip\..\Interfaces\{8f1b593c-9700-44cb-9e8f-cf015261b3a4}: [DhcpNameServer] 82.163.142.7
    Tcpip\..\Interfaces\{a5cc7047-1aab-481d-ba8a-6770b4a20722}: [NameServer] 82.163.142.7 95.211.158.134
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.palikan.com/?f=1&a=plk_ir_16_0...D0EtB0E2QtN0A0LzuyE&cr=1078116069&ir=
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.palikan.com/?f=1&a=plk_ir_16_0...D0EtB0E2QtN0A0LzuyE&cr=1078116069&ir=
    SearchScopes: HKLM -> {6586d803-df30-46d3-a89a-4136c8571d45} URL = hxxp://www.palikan.com/results.php?f=4&a=...2QtN0A0LzuyE&cr=1078116069&ir=&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3382412400-697734093-2633612492-1001 -> DefaultScope {6586d803-df30-46d3-a89a-4136c8571d45} URL = hxxp://www.palikan.com/results.php?f=4&a=...2QtN0A0LzuyE&cr=1078116069&ir=&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3382412400-697734093-2633612492-1001 -> {6586d803-df30-46d3-a89a-4136c8571d45} URL = hxxp://www.palikan.com/results.php?f=4&a=...2QtN0A0LzuyE&cr=1078116069&ir=&q={searchTerms}
    S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe [293128 2016-03-11] (McAfee, Inc.)
    S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
    2016-05-26 17:04 - 2016-05-26 17:04 - 00000000 ____D C:\ProgramData\f940df4c-75d3-1
    2016-05-26 17:04 - 2016-05-26 17:04 - 00000000 ____D C:\ProgramData\f940df4c-5303-0
    2016-05-17 17:04 - 2016-05-17 17:04 - 00000000 ____D C:\ProgramData\f940df4c-3f65-0
    2016-05-17 17:04 - 2016-05-17 17:04 - 00000000 ____D C:\ProgramData\f940df4c-2ac3-1
    2016-05-14 17:04 - 2016-05-14 17:04 - 00000000 ____D C:\ProgramData\f940df4c-6837-0
    2016-05-14 17:04 - 2016-05-14 17:04 - 00000000 ____D C:\ProgramData\f940df4c-3013-1
    2016-05-10 17:04 - 2016-05-10 17:04 - 00000000 ____D C:\ProgramData\f940df4c-6217-1
    2016-05-10 17:04 - 2016-05-10 17:04 - 00000000 ____D C:\ProgramData\f940df4c-1e25-0
    2016-05-10 17:04 - 2016-05-10 17:04 - 00000000 ____D C:\ProgramData\{21cf2436-512c-0}
    2016-05-10 17:04 - 2016-05-10 17:04 - 00000000 ____D C:\ProgramData\{180e7b91-012c-1}
    2016-05-09 20:42 - 2016-05-09 20:42 - 00000000 ____D C:\Users\Patrycja\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence
    2016-05-09 20:41 - 2016-05-09 20:41 - 00000000 ____D C:\ProgramData\ByteFence
    2016-05-09 20:31 - 2016-05-14 15:41 - 00000000 ____D C:\Program Files\ByteFence
    2016-05-09 20:31 - 2016-05-09 20:31 - 06882192 _____ (Piriform Ltd) C:\Users\Patrycja\Downloads\ccsetup517.exe
    2016-05-09 20:31 - 2016-05-09 20:31 - 00003552 _____ C:\WINDOWS\System32\Tasks\ByteFence Scan
    2016-05-09 20:31 - 2016-05-09 20:31 - 00003450 _____ C:\WINDOWS\System32\Tasks\ByteFence
    2016-05-09 20:31 - 2016-05-09 20:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware
    2016-05-09 19:11 - 2016-05-09 22:01 - 00000000 ____D C:\Users\Patrycja\AppData\Roaming\Enigma Software Group
    2016-05-09 19:11 - 2016-05-09 19:11 - 00000000 _____ C:\autoexec.bat
    2016-05-05 17:04 - 2016-05-05 17:04 - 00000000 ____D C:\ProgramData\f940df4c-7953-1
    2016-05-05 17:04 - 2016-05-05 17:04 - 00000000 ____D C:\ProgramData\f940df4c-4141-0
    2016-05-05 11:04 - 2016-05-05 11:04 - 00000000 ____D C:\ProgramData\f940df4c-6c03-0
    2016-05-05 11:04 - 2016-05-05 11:04 - 00000000 ____D C:\ProgramData\f940df4c-2fb3-1
    2016-05-04 17:04 - 2016-05-04 17:04 - 00000000 ____D C:\ProgramData\f940df4c-6905-0
    2016-05-04 17:04 - 2016-05-04 17:04 - 00000000 ____D C:\ProgramData\f940df4c-2e67-1
    2016-05-03 17:04 - 2016-05-03 17:04 - 00000000 ____D C:\ProgramData\f940df4c-2903-0
    2016-05-03 17:04 - 2016-05-03 17:04 - 00000000 ____D C:\ProgramData\f940df4c-1ea3-1
    2016-05-03 11:04 - 2016-05-03 11:04 - 00000000 ____D C:\ProgramData\f940df4c-5c05-0
    2016-05-03 11:04 - 2016-05-03 11:04 - 00000000 ____D C:\ProgramData\f940df4c-48a5-1
    2016-05-02 23:04 - 2016-05-02 23:04 - 00000000 ____D C:\ProgramData\f940df4c-1ed3-0
    2016-05-02 23:04 - 2016-05-02 23:04 - 00000000 ____D C:\ProgramData\f940df4c-06b1-1
    2016-05-02 17:04 - 2016-05-02 17:04 - 00000000 ____D C:\ProgramData\f940df4c-7881-0
    2016-05-02 17:04 - 2016-05-02 17:04 - 00000000 ____D C:\ProgramData\f940df4c-50f3-1
    2016-05-01 17:04 - 2016-05-01 17:04 - 00000000 ____D C:\ProgramData\f940df4c-4b53-0
    2016-05-01 17:04 - 2016-05-01 17:04 - 00000000 ____D C:\ProgramData\f940df4c-4a37-1
    2016-05-01 11:04 - 2016-05-01 11:04 - 00000000 ____D C:\ProgramData\f940df4c-68d5-1
    2016-05-01 11:04 - 2016-05-01 11:04 - 00000000 ____D C:\ProgramData\f940df4c-3c87-0
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 27 Maj 2016 18:03
    katharsis_
    Poziom 2  

    Zrobiłam wszystko, a reklamy z DNS Unlockera dalej się pokazują :/

    0
  • #4 27 Maj 2016 18:14
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #6 27 Maj 2016 18:35
    Kolobos
    Spec od komputerów

    Masz zainfekowany router, ustawione dnsy z Ukrainy:
    Tcpip\Parameters: [DhcpNameServer] 46.28.68.227 8.8.8.8
    Tcpip\..\Interfaces\{a5cc7047-1aab-481d-ba8a-6770b4a20722}: [DhcpNameServer] 46.28.68.227 8.8.8.8

    Wykonaj: https://www.elektroda.pl/rtvforum/topic2874173.html resetowac nie musisz ale koniecznie zablokuj dostep do panelu routera z internetu oraz zmien dnsy na wlasciwe (moga byc od google: 8.8.8.8 oraz 8.8.4.4)

    Przy okazji wykonaj jeszcze taki Fixlist.txt dla FRST:
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
    CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
    2016-05-27 17:04 - 2016-05-27 17:04 - 00000000 ____D C:\ProgramData\f940df4c-44e7-0
    2016-05-27 17:04 - 2016-05-27 17:04 - 00000000 ____D C:\ProgramData\f940df4c-3eb1-1
    2016-05-26 14:40 - 2016-05-27 18:22 - 00000000 ____D C:\Users\Patrycja\Desktop\FRST-OlderVersion
    2016-05-09 20:29 - 2016-05-09 20:30 - 00974072 _____ ( ) C:\Users\Patrycja\Downloads\CCleaner-13061-dp.exe
    2016-05-25 15:42 - 2016-03-03 22:06 - 00000000 ____D C:\ProgramData\8972db9a

    0