Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus blokujący połączenie z internetem

26 Mar 2020 23:39 192 13
  • Spec od komputerów
    Jeszcze frst.txt.

    Odinstaluj:
    Avast Cleanup Premium
    Avast Driver Updater
    ESET Online Scanner v3
    McAfee WebAdvisor
  • Poziom 43  
    Wykonaj taki fixlist.txt:

    CreateRestorePoint:
    CloseProcesses:
    EmptyTemp:
    RemoveProxy:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {1f0bd513-fe7e-11e8-80e5-74d43519b4ba} - J:\Autorun.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {2471d393-02f2-11ea-98b8-74d43519b4ba} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {6355a708-f0d2-11e8-a671-a2c0ecc17b60} - E:\DVDSetup.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {bb48d22c-1424-11e9-82ea-74d43519b4ba} - I:\AutoRun.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {bea66f4a-fe38-11e8-835f-74d43519b4ba} - I:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {bea67009-fe38-11e8-835f-74d43519b4ba} - I:\Autorun.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {c44a06a2-4241-11e9-8dd7-74d43519b4ba} - I:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {d269e400-45ae-11ea-8816-74d43519b4ba} - I:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\...\MountPoints2: {f36d842e-d710-11e9-a9a9-74d43519b4ba} - F:\iLinker.exe
    GroupPolicy: Ograniczenia ? <==== UWAGA
    Task: {35F18EAA-4989-4649-B485-28079C6ABBCB} - System32\Tasks\{09E7F207-0474-47A4-A0F6-00E4BCE4467B} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{91000001-C561-4E32-99EB-3C5AD3683A70}\setup.exe" -c -runfromtemp -l0x0009 -removeonly
    Task: {E39AB81E-9AF2-42B0-99D1-04ED9DCFB59B} - System32\Tasks\{8AA3793E-A6EF-4EC5-9547-B864DD2D4310} => C:\Windows\system32\pcalua.exe -a C:\Users\RSKRecords\Downloads\wizardinstallv5.01beta12.exe -d C:\Users\RSKRecords\Downloads
    Task: {E803647B-845F-4B7E-B24D-BD4FE23EC40D} - System32\Tasks\{7B0CF1D3-FDE6-400D-BA20-9DB6A4D39953} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\AAMS\Uninstall.exe"
    Task: {FFCB9CBF-F9C6-46A9-ABC4-434C0010D221} - System32\Tasks\{FBA7AD47-3A57-4E7E-AC96-4AEEF6EE6BCB} => C:\Windows\system32\pcalua.exe -a "C:\Users\RSKRecords\Downloads\Maschine 2 v2 4 0 (oddsox)\r2r-4008\NI_Maschine_240U_WIN_Installer.7z.exe" -d "C:\Users\RSKRecords\Downloads\Maschine 2 v2 4 0 (oddsox)\r2r-4008"
    Winsock: Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [121704 2011-08-30] (Apple Inc. -> Apple Inc.)
    Winsock: Catalog5-x64 07 C:\Program Files\Bonjour\mdnsNSP.dll [132968 2011-08-30] (Apple Inc. -> Apple Inc.)
    Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 192.168.1.1
    Tcpip\..\Interfaces\{5539CCBD-444A-428C-BD65-B407F0CEAA3A}: [DhcpNameServer] 192.168.1.1 192.168.1.1
    Tcpip\..\Interfaces\{B030F4C7-D6E5-4CBA-99EC-E586B0FE1B2C}: [DhcpNameServer] 192.168.42.129
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nav-pl.com/
    SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    SearchScopes: HKU\S-1-5-21-88231310-3601456365-2878998037-1000 -> DefaultScope {7EA946A9-FA86-471F-8B9A-0FB29AA89B62} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-88231310-3601456365-2878998037-1000 -> {7EA946A9-FA86-471F-8B9A-0FB29AA89B62} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
    BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll [2019-02-03] (McAfee, Inc. -> McAfee, Inc.)
    BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2019-02-03] (McAfee, Inc. -> McAfee, Inc.)
    Toolbar: HKU\S-1-5-21-88231310-3601456365-2878998037-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
    Toolbar: HKU\S-1-5-21-88231310-3601456365-2878998037-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    FF Notifications: Mozilla\Firefox\Profiles\fy44btnv.default-1556960160469 -> hxxps://tinder.com
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files\McAfee\WebAdvisor\e10ssaffplg.xpi
    FF Extension: (McAfeeŸ WebAdvisor) - C:\Program Files\McAfee\WebAdvisor\e10ssaffplg.xpi [2019-02-03]
    FF HKLM\...\Firefox\Extensions: [{90ca575e-4c80-47b5-8a3b-ad862f38a292}] - C:\Program Files (x86)\SafeMyWeb\ff\safe_my_web-1.0.1-fx.xpi => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files\McAfee\WebAdvisor\e10ssaffplg.xpi
    FF HKLM-x32\...\Firefox\Extensions: [{90ca575e-4c80-47b5-8a3b-ad862f38a292}] - C:\Program Files (x86)\SafeMyWeb\ff\safe_my_web-1.0.1-fx.xpi => nie znaleziono
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    S2 DigiRefresh; C:\Program Files\Avid\Pro Tools First\MMERefresh.exe -s [X]
    S3 digiSPTIService64; "C:\Program Files\Avid\Pro Tools First\digisptiservice64.exe" [X]
    S4 PaceLicenseDServices; "C:\Program Files (x86)\Common Files\PACE\Services\LicenseServices\LDSvc.exe" -u https://activation.paceap.com/InitiateActivation [X]
    S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X]
    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
    2020-03-26 21:33 - 2019-01-30 01:24 - 000003176 _____ C:\Windows\system32\Tasks\{8AA3793E-A6EF-4EC5-9547-B864DD2D4310}
    2020-03-26 21:33 - 2018-12-13 02:05 - 000003346 _____ C:\Windows\system32\Tasks\{FBA7AD47-3A57-4E7E-AC96-4AEEF6EE6BCB}
    2020-03-26 21:33 - 2018-12-01 20:00 - 000003292 _____ C:\Windows\system32\Tasks\{09E7F207-0474-47A4-A0F6-00E4BCE4467B}
    2019-01-10 23:52 - 2019-01-10 23:52 - 000000038 ___SH () C:\Users\RSKRecords\AppData\Local\62zte7ntuiouiixaz6s5ebl6hza7osi
    2019-01-10 23:52 - 2019-01-10 23:52 - 000000038 ___SH () C:\Users\RSKRecords\AppData\Local\7368ee7c5a2e9307a4d700.36580646
    2019-01-10 23:52 - 2019-01-10 23:52 - 000000038 ___SH () C:\Users\RSKRecords\AppData\Local\fh2cdxostlubeje2g37wg75uzmqyw2a
    2019-01-10 23:52 - 2019-01-10 23:52 - 000000038 ___SH () C:\Users\RSKRecords\AppData\Local\mcswbqyqxfkzawt75eckjerthfvicxi
    2019-02-03 16:28 - 2019-02-03 16:28 - 000000218 _____ () C:\Users\RSKRecords\AppData\Local\recently-used.xbel
    2018-11-27 17:38 - 2018-11-27 17:38 - 000000017 _____ () C:\Users\RSKRecords\AppData\Local\resmon.resmoncfg
    2019-01-10 23:52 - 2019-01-10 23:52 - 000000038 ___SH () C:\Users\RSKRecords\AppData\Local\yocye2jh5tjsb7d42tgipdibsjvqasq
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000006 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_496F4C99-60AD-5b9e-AC1B-FA060E643C02.dll
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000002 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_72024697-2626-4a12-8347-7CAC1834AC3B.dll
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000002 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_82424970-0916-4145-974C-09EBC0BE67C0.dll
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000002 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_C92E1371-3DF5-4322-9729-82CC0DD90ECA.dll
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000002 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_D9C6A609-15A1-4768-8E98-6FA00C2547CC.dll
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000006 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_F4F01109-C336-401f-BDE4-7C1926744103.dll
    2019-11-10 20:40 - 2019-11-10 20:40 - 000000006 _____ () C:\Users\RSKRecords\AppData\Roaming\iasna_FB9AECF7-F56E-7B2E-A862-9892AA545102.dll
    2020-03-26 21:56 - 2019-07-08 19:56 - 000000638 _____ C:\Windows\Tasks\TrackerAutoUpdate.job
    2020-03-26 21:33 - 2020-02-05 23:11 - 000003080 _____ C:\Windows\system32\Tasks\{7B0CF1D3-FDE6-400D-BA20-9DB6A4D39953}
  • Spec od komputerów
    @safbot1st tego nie usuwaj:
    HKLM\...\Run: [C:\Windows\system32\V0770Ext.ax] => C:\Windows\system32\RegSvr32.exe /s C:\Windows\system32\V0770Ext.ax
    C:\Windows\system32\V0770Ext.ax
    HKLM-x32\...\Run: [C:\Windows\SysWOW64\V0770Ext.ax] => C:\Windows\system32\RegSvr32.exe /s C:\Windows\SysWOW64\V0770Ext.ax
    C:\Windows\SysWOW64\V0770Ext.ax
  • Poziom 43  
    Acorus 20 to wywalał:
    https://www.elektroda.pl/rtvforum/topic3051173.html
    Ok. Jeśli to Webcam Creativa, to proszę wybaczenie. Pewnie by się sam zainstalował ponownie...
    :(
  • Poziom 42  
    Otwórz notatnik i wklej:

    CloseProcesses:
    HKU\S-1-5-21-88231310-3601456365-2878998037-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {4308C0A6-6BDB-4148-B774-D13BACE68B0C} - System32\Tasks\Opera scheduled Autoupdate 1549208407 => C:\Users\RSKRecords\AppData\Local\Programs\Opera\launcher.exe
    "MBAMInstallerService" => serwis nie został odblokowany. <==== UWAGA
    HKLM\SYSTEM\ControlSet001\Services\MBAMInstallerService => C:\Program Files\Malwarebytes\Anti-Malware\MBAMInstallerService.exe [5977200 2020-03-26] (Malwarebytes Inc -> Malwarebytes) <==== UWAGA (Rootkit!/Zablokowana usługa)

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.
  • Poziom 43  
    Odinstaluj całkowicie AVAST, coś się może pod niego podszywać, w dodatku jak widać nie działa nic a nic,
    a tylko instaluje swoje śmieciowe dodatki.

    Odinstaluj PACE License Support Win64 - to samo co wyżej.

    Wykonaj skan i usuwanie za pomocą:
    TDSSKiller
    ADWcleaner
    MBAM
    Dr.WEB CueIt!

    Masz "studio nagrań" dosłownie zasypane nakładkami audio na OS. ;)
    Trudniej w tym gąszczu znaleźć infekcję niż zazwyczaj.
    Ten soft się wręcz "wylewa" np. wylał się do C:\Users\RSKRecords\AppData\Roaming\
    ...
    W dodatku błędy w dzienniku:
    Spoiler:

    Nie można załadować następujących sterowników startu rozruchowego lub systemowego:
    TPkd
    UsbCharger

    Error: (03/27/2020 01:37:16 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT)
    Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się.

    Ścieżka modułu: C:\Windows\system32\Rtlihvs.dll
    Kod błędu: 126

    Error: (03/27/2020 01:37:04 AM) (Source: Application Popup) (EventID: 1060) (User: )
    Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\pfc.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

    Error: (03/27/2020 01:36:41 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
    Description: Nie można uruchomić usługi Windows Search z powodu następującego błędu:
    Usługa nie została uruchomiona z powodu nieudanego logowania.


    Wykonaj kolejny fixlist.txt:

    CreateRestorePoint:
    CloseProcesses:
    EmptyTemp:
    HKLM\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvLaunch.exe [277664 2020-02-25] (Avast Software s.r.o. -> AVAST Software)
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {4180EB22-5BD1-4235-8689-B5CF63B14AAE} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
    Task: {DF69CD03-4D0D-4846-B7DC-1BDB46CA4318} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe [3894664 2020-02-25] (Avast Software s.r.o. -> AVAST Software)
    FF Extension: (Avast SafePrice | Porównania, promocje, kupony) - C:\Users\RSKRecords\AppData\Roaming\Mozilla\Firefox\Profiles\fy44btnv.default-1556960160469\Extensions\sp@avast.com.xpi [2020-02-13]
    FF Extension: (Avast Online Security) - C:\Users\RSKRecords\AppData\Roaming\Mozilla\Firefox\Profiles\fy44btnv.default-1556960160469\Extensions\wrc@avast.com.xpi [2020-03-06]
    R3 aswbIDSAgent; C:\Program Files\AVAST Software\Avast\aswidsagent.exe [6046624 2020-02-25] (Avast Software s.r.o. -> AVAST Software)
    R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [413472 2020-02-25] (Avast Software s.r.o. -> AVAST Software)
    S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [10368 2004-04-01] (Padus, Inc.) [Brak podpisu cyfrowego]
    S0 TPkd; C:\Windows\SysWow64\Drivers\TPkd.sys [93336 2012-05-16] (PACE Anti-Piracy, Inc. -> PACE Anti-Piracy, Inc.)
    S3 SWDUMon; system32\DRIVERS\SWDUMon.sys [X]
    2020-03-27 01:36 - 2009-07-14 05:45 - 000022080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    2020-03-27 01:36 - 2009-07-14 05:45 - 000022080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    2020-03-27 01:33 - 2019-08-20 22:11 - 000000000 ____D C:\Program Files (x86)\Loomer
    2020-03-27 01:02 - 2018-11-27 17:58 - 000004168 _____ C:\Windows\system32\Tasks\Avast Emergency Update
    2020-03-26 23:55 - 2018-11-27 17:59 - 000000000 ____D C:\Users\RSKRecords\AppData\Roaming\AVAST Software
    2020-03-26 23:55 - 2018-11-27 17:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVAST Software
    2020-03-26 23:55 - 2018-11-27 17:56 - 000000000 ____D C:\ProgramData\AVAST Software
    2020-03-26 21:33 - 2019-07-08 19:56 - 000003294 _____ C:\Windows\system32\Tasks\TrackerAutoUpdate
    2020-03-23 20:44 - 2019-08-20 22:14 - 000000000 ____D C:\Users\RSKRecords\AppData\Roaming\Loomer
    2020-03-23 20:44 - 2019-01-29 23:34 - 000000000 ____D C:\Users\RSKRecords\AppData\Roaming\Celemony Software GmbH
    2020-03-20 23:56 - 2019-01-11 19:14 - 000000000 ____D C:\ProgramData\PACE
    2020-03-11 14:56 - 2018-11-27 17:58 - 000458584 _____ (AVAST Software) C:\Windows\system32\Drivers\aswSP.sys
    2020-03-10 21:20 - 2019-04-09 20:41 - 000000000 ____D C:\Users\TEMP
    2018-11-25 22:07 - 2018-11-25 22:07 - 000008950 _____ () C:\Users\RSKRecords\AppData\Roaming\PStrip.bak
    2018-11-25 22:07 - 2018-11-25 21:59 - 000008950 _____ () C:\Users\RSKRecords\AppData\Roaming\PStrip.bk!
    2018-11-25 21:57 - 2018-11-25 22:15 - 000008979 _____ () C:\Users\RSKRecords\AppData\Roaming\PStrip.ini
    ContextMenuHandlers1: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShell.dll [2020-02-25] (Avast Software s.r.o. -> AVAST Software)
    ContextMenuHandlers3: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShell.dll [2020-02-25] (Avast Software s.r.o. -> AVAST Software)
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> Brak pliku
    ContextMenuHandlers6: [avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShell.dll [2020-02-25] (Avast Software s.r.o. -> AVAST Software
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\ProgramData\PACE:1C143FD083215AD3 [217]
  • Poziom 9  
    łączy się przez Livebox'a z Orange
  • Spec od komputerów
    W takim razie problem dotyczy lacza albo sprzetu od Orange, w przeciwnym razie z innymi laczami tez by Ci sie rozlaczalo.