Samoistne wyłączanie się przeglądarek internetowych

[plokpl123]

Po włączeniu jakiejkolwiek przeglądarki internetowej, po jakiś 10 sekundach, same mi się wyłącza.

 

Logi OTL

 

http://wklej.to/1RCcf - OTL.Txt

http://wklej.to/23Jq2 - Extras.txt

[plokpl123]

http://wklej.to/lZ2U2 - Addition.txt

 

[Janusz.]

FRST mi potrzebny, nie addition 

[plokpl123]

FRST - http://wklej.to/HcYQi

 

Wrzucam na raty bo telefon mi inaczej nie pozwala ;d

[Janusz.]

http://wklej.to/iqrFH

 

mała poprawka. fixlist.txt > fix/napraw

 

potem te dnsy ogarnij 

Tcpip\..\Interfaces\{3A5CAD7D-1496-41FE-9EF3-08D2521ED807}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{935C4F7A-F9AC-470D-BAFB-794F13324483}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{D0732122-5646-4C63-865F-45271452D6E0}: [DhcpNameServer] 192.168.1.1 192.168.1.1

[plokpl123]

Wszystko śmiga jak na razie, wielkie dzięki i szczęśliwego Nowego Roku!

[Janusz.]

możesz mi wysłać cały folder C:/FRST?

[plokpl123]

Mam błąd "Odmowa dostępu" jak chce spakować w rar

[Janusz.]

trudno. pobierz https://toolslib.net/downloads/viewdownload/2-delfix/i kliknij ten duzy przyycisk. nie zmieniaj opcji 

[plokpl123]

DelFix.txt - http://wklej.to/oKkbF

[Janusz.]

i to tyle. jakby kiedyś jeszcze jakieś problemy wystąpiły to pisz. Szczęśliwego nowego roku!

[plokpl123]

Jak wstanę to jeszcze sprawdzał, jak coś będzie nie tak to napiszę.

Dzięki za poświęcenie czasu

[Janusz.]

wiem co jest winowajcą ale nie pomogę, OTL mało widzi. Wykonaj logi FRST.

[plokpl123]

http://wklej.to/2KE73 - Addition.txt

http://wklej.to/Vcxwc - FRST.txt

http://wklej.to/51PPR - Shortcut.txt

[Janusz.]

modyfikowałeś plik hosts bądź masz cracka mirilis action?

[plokpl123]

Modyfikowałem, a cracka nie mam ale kiedyś próbowałem i mi nie działał, wiec usunąłem

[Janusz.]

Są dziwne wpisy w pliku hosts. 

 

127.0.0.1 anchorfree.net
127.0.0.1 rss2search.com
127.0.0.1 techbrowsing.com
127.0.0.1 box.anchorfree.net
127.0.0.1 www.mefeedia.com
127.0.0.3 www.anchorfree.net
127.0.0.2 mefeedia.com
127.0.0.1 anchorfree.us
127.0.0.1 a433.com
127.0.0.1 rpt.anchorfree.net
127.0.0.1 delivery.anchorfree.us/land.php
127.0.0.1 hsselite.com
127.0.0.1 www.hsselite.com
127.0.0.1 onhax.net
127.0.0.1 www.onhax.net
127.0.0.1 https://forum.onhax.net
127.0.0.1 labs.onhax.net
127.0.0.1 do2dear.net
127.0.0.1 p30world.com
127.0.0.1 brarstuff.com
127.0.0.1 rsload.net
127.0.0.1 t1.symcb.com
127.0.0.1 t2.symcb.com
127.0.0.1 th.symcd.com
127.0.0.1 tl.symcb.com
127.0.0.1 tl.symcd.com
0.0.0.0 pubads.g.doubleclick.net
0.0.0.0 securepubads.g.doubleclick.net127.0.0.1 thislineskipsanyemptylines
127.0.0.1 mirillis.com
127.0.0.1 www.mirillis.com

 

które to twoje? jesli wszystkie to ok, nie będę resetował, jesli część to zapisz je gdzieś w notatniku. zresetuje plik hosts i ponownie zedytuje.

[plokpl123]

Wszystko moje

[Janusz.]

okej, czyli nie modyfikujemy :P zaraz dam fixa. 

 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 

 

zapisz to jako FIX.reg i uruchom. Naprawa WMIMGMT

 

Odnośnie infekcji

HKU\S-1-5-21-435576180-914227734-2057512724-1001\...\RunOnce: [WindowsUpdate] => C:\ProgramData\Windows Manager\winmgr.exe -rundll32 /SYSTEM32 "C:\Windows\System32\taskmgr.exe" "C:\Program Files\Microsoft\Windows"

HKU\S-1-5-21-435576180-914227734-2057512724-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\Microsoft.com <===== UWAGA

i tona debugerów (odpalenie avg przykladowo kończy się tym że włącza się plik microsoft.com - wirus, szczerze nie wiem jaki )

 

Wyczyść DNS (poradnik znajdziesz w google #wierze)

ustaw na googlowskie 8.8.8.8 8.8.4.4

 

a tutaj fix 

http://wklej.to/BaDgh

zapisz zawartość jako fixlist.txt umieść obok FRST i kliknij FIX/napraw. Potem daj fixlog i nowy log FRST.

 

wszystko rób po kolei

[plokpl123]

Jak odpalam fix.reg mam błąd - Nie można zaimportować: błąd przy dostępie do rejestru

[Janusz.]

być możew wirus blokuje dostęp do rejestru. zrób następne kroki a potem się zobaczy