Wirus unblockservice.com

**Posty:** 3 · przez **gniadziu** 04 Lut 2016, 22:55

Witam,
Mam problem z następującym wirusem, blokuje on dostęp do witryn internetowych - wpisując byle jaki adres nie wyświetla mi żadna witryna.(internet normalnie działa, pingwać np. wp.pl mogę bez problemów) Sprawdziłem podstawowe rzeczy typu włączone proxy, blokada w antyvirusie, ale oczywiście wszystko jest ok. Dodam, że przy okazji wchodząc w IE w opcje internetowe -> połączania -> ustawienia sieci lan w polu "Użyj skryptu automatycznej konfiguracji" znajduje się dziwny adres unblockservice.com/wpad.dat..... Pierwszy raz się z czymś takim spotykam i prosiłbym o pomoc

Załączam pliki z FRST
https://www.dropbox.com/s/6ryblxoisotqx2j/FRST.rar?dl=0

Z góry dziękuje za pomoc

Pozdrawiam

**Posty:** 4765 · przez **ordynat** 05 Lut 2016, 00:15

Otwórz Notatnik i wklej w nim:

Task: {06650624-FAC0-4C3A-857C-D8762635703C} - System32\Tasks\psv_Solo-Ity => /c regedit.exe /s "C:\ProgramData\Zoobam\Zonecandex.reg" & del "C:\ProgramData\Zoobam\Zonecandex.reg" & SCHTASKS /Delete /TN "psv_Solo-Ity" /F <==== UWAGA
C:\ProgramData\Zoobam
Task: {2BDF2624-8215-4831-ABD4-91163674A556} - System32\Tasks\Phcaonag => C:\PROGRA~1\SHOPPE~1\Egicsirn.bat
Task: {3901BF6D-E81D-4245-9DB2-B253D99AEF89} - System32\Tasks\Kybjehef => C:\PROGRA~1\GROOVE~1\Gernye.bat
C:\PROGRA~1\SHOPPE~1
Task: {52163B24-1D59-49C8-AFF6-36B64E6F995F} - System32\Tasks\psv_Touchflex => /c regedit.exe /s "C:\ProgramData\Zoobam\Freshsantip.reg" & del "C:\ProgramData\Zoobam\Freshsantip.reg" & SCHTASKS /Delete /TN "psv_Touchflex" /F <==== UWAGA
Task: {78453BA3-B0C3-410C-987E-EB97FE548F5E} - System32\Tasks\{809E9B27-5FC4-499E-AD40-8F132B0662D9} => pcalua.exe -a "E:\sieć\Sterowniki Intel PROWireless dla Microsoft Windows Vista\sp38437.exe" -d "E:\sieć\Sterowniki Intel PROWireless dla Microsoft Windows Vista"
Task: {90297B85-6CB9-499B-95C7-EEF3F88F105D} - System32\Tasks\{BEDC186B-F6B6-40E3-B020-8176DDCAB65F} => pcalua.exe -a "E:\klawiatura mysz\touchpad\sp37065.exe" -d "E:\klawiatura mysz\touchpad"
Task: {B23727E2-DD4F-46E0-A5E2-FADADCAA18AC} - System32\Tasks\{201B2A53-5B7D-476C-892A-C2787EA9020A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Strongeco\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\Strongeco\uninstall.dat" -a uninstallme CA0E1599-9190-4652-B917-D1DB4E68DD94 DeviceId=fcdc9850-1fa2-220c-d6c1-2efb84d6ea85 BarcodeId=50127003 ChannelId=3 DistributerName=APSFImali
Task: {D2A8B606-4C76-40BC-AC37-446CF836855A} - System32\Tasks\{E063725D-3DF0-4D9D-BA2F-98D4AA805F76} => pcalua.exe -a "F:\Nero 6.6.1.15 PL + seriale\Nero Burning Rom 6.6.1.15d plk.exe" -d "F:\Nero 6.6.1.15 PL + seriale"
Task: {DA1FA2B5-9D59-4876-8251-C68A0D4B18A6} - System32\Tasks\Rufku => C:\PROGRA~1\SHOPPE~1\Sesbudn.bat
Task: {DC7F6AFD-1B2C-498D-889D-2FE8CBE720E5} - System32\Tasks\{37E90335-E783-4AB7-A966-C3168EE8BCCB} => pcalua.exe -a "E:\Poprawka szybkiego nagrywania dla kamery\sp35930.exe" -d "E:\Poprawka szybkiego nagrywania dla kamery"
HKU\S-1-5-21-1211491604-1165937865-1074215154-1000\...\Run: [BingSvc] => C:\Users\tomek\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-01-18] (© 2015 Microsoft Corporation)
AppInit_DLLs: C:\ProgramData\Zoobam\Zummatough.dll => C:\ProgramData\Zoobam\Zummatough.dll [805376 2016-02-02] ()
AppInit_DLLs-x32: C:\ProgramData\Zoobam\VentoAir.dll => C:\ProgramData\Zoobam\VentoAir.dll [257536 2016-02-02] ()
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.266\SSScheduler.exe (Brak pliku)
HKU\S-1-5-21-1211491604-1165937865-1074215154-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCX7444WN2GtPNT3rdwAvljqgh07PXL8BrwttwrbjAUOHLrbNY8kcxxHpX_6KxIynXf7WIeqD2Voa-DKc1EqpXu6ON41uAVcGANGAdo2YcCmXzgRLDflGZcuDf77_BE5PBgWetCTwixy1LKPZ7ppLg-SuKBi1Y,&q={searchTerms}
HKU\S-1-5-21-1211491604-1165937865-1074215154-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCX7444WN2GtPNT3rdwAvljqgh07PXL8BrwttwrbjAUOHLrbNY8kcxxHpX_6KxIynXf7WIeqD2Voa-DKc1EqpXu6ON41uAVcGANGAdo2YcCmXzgRLDflGZcuDf77_BE5PBgWetCTwixy1LKPZ7ppLg-SuKBi1Y,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-1211491604-1165937865-1074215154-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF HKLM\...\Firefox\Extensions: [{BE263C5F-4DA0-4425-84E0-FD6294202B48}] - C:\Program Files\shopperz010220160931\Firefox\{BE263C5F-4DA0-4425-84E0-FD6294202B48}.xpi => nie znaleziono
FF HKLM\...\Firefox\Extensions: [{735CCAD3-ABF0-4011-9D09-3AA7C1B4A318}] - C:\Program Files\groover010220162112\Firefox\{735CCAD3-ABF0-4011-9D09-3AA7C1B4A318}.xpi => nie znaleziono
FF HKLM\...\Firefox\Extensions: [{965F2164-0541-4D3C-a028-320BDE3283A8}] - C:\Program Files\shopperz020220161636\Firefox\{965F2164-0541-4D3C-a028-320BDE3283A8}.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{BE263C5F-4DA0-4425-84E0-FD6294202B48}] - C:\Program Files\shopperz010220160931\Firefox\{BE263C5F-4DA0-4425-84E0-FD6294202B48}.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{735CCAD3-ABF0-4011-9D09-3AA7C1B4A318}] - C:\Program Files\groover010220162112\Firefox\{735CCAD3-ABF0-4011-9D09-3AA7C1B4A318}.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{965F2164-0541-4D3C-a028-320BDE3283A8}] - C:\Program Files\shopperz020220161636\Firefox\{965F2164-0541-4D3C-a028-320BDE3283A8}.xpi => nie znaleziono
S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.266\McCHSvc.exe" [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
2016-02-04 20:38 - 2016-02-04 20:39 - 00000000 ____D C:\ProgramData\rWdMr
2016-02-04 19:56 - 2016-02-04 19:57 - 00000000 ____D C:\ProgramData\DWdMD
2016-02-02 21:23 - 2016-02-02 21:24 - 00000000 ____D C:\ProgramData\tWdMt
2016-02-02 20:52 - 2016-02-02 20:52 - 00003276 _____ C:\Windows\System32\Tasks\psv_Touchflex
2016-02-02 20:34 - 2016-02-02 20:34 - 00003270 _____ C:\Windows\System32\Tasks\psv_Solo-Ity
2016-02-02 16:33 - 2016-02-03 21:20 - 00000000 ____D C:\Users\tomek\AppData\Roaming\OoxuybHib
2016-02-02 16:33 - 2016-02-02 16:33 - 00000000 ____D C:\Windows\system32\hayo
2016-02-02 16:31 - 2016-02-03 19:42 - 00000000 ____D C:\ProgramData\Zoobam
2016-02-02 16:31 - 2016-02-02 16:31 - 00000000 ____D C:\ProgramData\Zoobams
2016-02-02 07:36 - 2016-02-02 07:37 - 00000000 ____D C:\ProgramData\FWdMF
2016-02-01 22:39 - 2016-02-01 22:39 - 00003252 _____ C:\Windows\System32\Tasks\Kybjehef
2016-02-01 22:38 - 2016-02-03 21:21 - 00000000 ____D C:\Users\tomek\AppData\Roaming\HhnejTifi
2016-02-01 22:38 - 2016-02-02 16:33 - 00000000 ____D C:\Users\tomek\AppData\Local\Tempfolder
2016-02-01 22:38 - 2016-02-01 22:38 - 00003256 _____ C:\Windows\System32\Tasks\Phcaonag
2016-02-01 22:38 - 2016-02-01 22:38 - 00000000 ____D C:\Windows\system32\ton
2016-02-01 22:38 - 2016-02-01 22:38 - 00000000 ____D C:\Users\tomek\AppData\LocalLow\Company
2016-02-01 22:37 - 2016-02-01 22:37 - 00000000 _____ C:\Windows\SysWOW64\Number of results
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.
.

**Posty:** 3 · przez **gniadziu** 06 Lut 2016, 10:14

Sorka za zwłokę, ale nie miałem czasu wkleić. Proszę o to log:

Fixlog.txt: (14.53 KiB) Ściągnięto 49 razy

**Posty:** 4765 · przez **ordynat** 06 Lut 2016, 11:56

Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

Jeśli natomiast problem nie zniknie, to przeinstalujesz przeglądarkę, na której to jeszcze będzie.
.

**Posty:** 3 · przez **gniadziu** 09 Lut 2016, 10:08

Wielkie dzięki, wszystko śmiga, temat do zamknięcia