Opakující se nákaza

[7lk]

Dobrý den,
od řešení problémku, viz vlákno https://forum.viry.cz/viewtopic.php?f=13&t=154972 jsem sestudoval (opravdu dost podrobně prolezl, s nadějí, že aspoň v úrovni jeslí porozumím) zdejší fórum. Chci najít způsob, kdy bude comp poslouchat mě a ně já jeho. Požívám Kaspersky Internet security, mám nainstalovaný Malwarebytest. Žádný nic nehlásí, skenování pomocí adwarecleaner 7.2.4.0 hlásí čisto. Pár drobností jsem, jako pohrobky odinstalací, přestože používám plnou verzi REVO Uninstaler, přes FRST vyčistil. Přesto se před týdnem objevily první problémy s přístupem k internetu, dnes to vygradovalo do neúnosnosti. Vzhledem k tomu, že jsem na optice 250/250, tak mě to zlobí. Začalo to nemožností najít stránky - chyby DNS. Začal jsem hledat. Nástroje výše říkaly, že vše je v pořádku. Adware Removal Tool 5.1 našel a zapracoval:
[-] Deleted ->> Registry Key ->> HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Google\Chrome
Po vyčištění comp funguje jak má, aspoň se to zdá. Zatím je tedy klid, ale ... krucipísek ... odkud se to bere a jak je možné, že ochranné nástroje nezabírají?

Zkusím tedy FRST a nelíbí se mi
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
to by mělo přijít pryč, co ještě dalšího může pomoci?

Děkuji za diskuzi.

[7lk]

ne ne ... stále je někde něco špatně:
DNS_PROBE_FINISHED_NO_INTERNET
nějak se to podaří prošťouchnout, ale v připojení by to být němělo. PING po deseti minutách opakování hlásí nula ztracených paketů.

[Rudy]

Zdravím!
Dejte log FRST.

[7lk]

Dobrý den, viz příloha prvního příspěvku, ale ještě jsem zkoušel nějaké laborování, tak poslední verze je zde.

[Rudy]

Teď spusťte tuto utilitu:

Ulozte na plochu AdwCleaner https://malwarebytes.com/adwcleaner/ nebo http://www.bleepingcomputer.com/download/adwcleaner/

ukoncete vsechny programy
odsouhlaste licencni podmiky (EULA) klikem na Souhlasim
kliknete pravym na ikonu AdwCleaneru a vyberte Spustit jako spravce (v pripade Win XP spustte obycejne dvojklikem)
kliknete na Skenovat nyni (Scan now), pote na Cisteni a opravy (Clean and Repair)
po restartu na Vas vyskoci log (pripadne jej najdete v C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt), jehoz obsah zkopirujte do pristi odpovedi

[7lk]

Ten jsem pouštěl x-krát, ale vždy s nulovým výsledkem ... teď je chvíli klid, ale potřeboval bych najít příčinu nebo nástroj, který bude hlídat a pomůže. Nechce se mi věřit, že by havět měla vítězit.

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build: 09-25-2018
# Database: 2018-10-31.2 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 11-05-2018
# Duration: 00:00:11
# OS: Windows 10 Pro
# Scanned: 32026
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [1249 octets] - [20/10/2018 00:22:08]
AdwCleaner[S01].txt - [2797 octets] - [25/10/2018 18:52:56]
AdwCleaner[C01].txt - [2707 octets] - [25/10/2018 18:58:04]
AdwCleaner[S02].txt - [1432 octets] - [25/10/2018 19:01:22]
AdwCleaner[S03].txt - [1493 octets] - [25/10/2018 19:15:06]
AdwCleaner[S04].txt - [1554 octets] - [25/10/2018 19:18:33]
AdwCleaner[S05].txt - [1615 octets] - [25/10/2018 19:47:34]
AdwCleaner[S06].txt - [1676 octets] - [25/10/2018 20:27:38]
AdwCleaner[S07].txt - [1737 octets] - [25/10/2018 20:34:59]
AdwCleaner[S08].txt - [1798 octets] - [25/10/2018 20:51:51]
AdwCleaner[S09].txt - [1859 octets] - [25/10/2018 21:49:09]
AdwCleaner[S10].txt - [1920 octets] - [25/10/2018 21:52:54]
AdwCleaner[S11].txt - [1981 octets] - [25/10/2018 22:56:30]
AdwCleaner[S12].txt - [2042 octets] - [25/10/2018 23:27:38]
AdwCleaner[S13].txt - [2103 octets] - [25/10/2018 23:52:53]
AdwCleaner[S14].txt - [2164 octets] - [26/10/2018 01:19:05]
AdwCleaner[S15].txt - [2225 octets] - [26/10/2018 09:33:16]
AdwCleaner[S16].txt - [2286 octets] - [26/10/2018 13:27:42]
AdwCleaner[S17].txt - [2347 octets] - [26/10/2018 14:41:36]
AdwCleaner[S18].txt - [2408 octets] - [26/10/2018 16:18:57]
AdwCleaner[S19].txt - [2469 octets] - [26/10/2018 16:24:40]
AdwCleaner[S20].txt - [2530 octets] - [29/10/2018 15:15:24]
AdwCleaner[S21].txt - [2591 octets] - [29/10/2018 20:20:18]
AdwCleaner[S22].txt - [2652 octets] - [30/10/2018 18:21:18]
AdwCleaner[S23].txt - [2713 octets] - [31/10/2018 09:06:24]
AdwCleaner[S24].txt - [2774 octets] - [31/10/2018 10:24:21]
AdwCleaner[S25].txt - [2835 octets] - [01/11/2018 19:50:56]
AdwCleaner[S26].txt - [2896 octets] - [02/11/2018 20:11:06]
AdwCleaner[S27].txt - [2957 octets] - [03/11/2018 12:22:47]
AdwCleaner[S28].txt - [3018 octets] - [03/11/2018 20:27:45]
AdwCleaner[S29].txt - [3079 octets] - [04/11/2018 21:28:40]
AdwCleaner[S30].txt - [3140 octets] - [05/11/2018 11:16:19]
AdwCleaner[C30].txt - [3326 octets] - [05/11/2018 11:22:41]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S31].txt ##########

[Rudy]

Toto je OK. Otevřte poznámkový blok a zkopírujte do něj:

Start

CloseProcesses:
HKU\S-1-5-21-813562695-3325033892-3013063695-1000\...\MountPoints2: {feb8a745-e0ee-11e8-a461-5cf3707afbea} - "J:\DTLplus_Launcher.exe"
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
ShellIconOverlayIdentifiers-x32-x32-x32-x32-x32: [OODIIcon] -> {14A94384-BBED-47ed-86C0-6BF63FD892D0} => -> No File
Task: {2ECD1180-FD4E-47B4-B9B9-CA2B73E85E6C} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-30] (Google Inc.)
Task: {584EE318-04F3-47D1-899C-FAA73C7933BE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-30] (Google Inc.)

EmptyTemp:
End

Uložte do E:\Download\AntiVir jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

[7lk]

Děkuji za nápovědu, udělal jsem. Jen
HKU\S-1-5-21-813562695-3325033892-3013063695-1000\...\MountPoints2: {feb8a745-e0ee-11e8-a461-5cf3707afbea} - "J:\DTLplus_Launcher.exe"
jsem vynechal, to patří USB disku s kryptováním a teď je už mimo (autorun je pro vše vyměnitelné zakázán).
Ostatní proběhlo, tak uvidíme.
Stále mi nejde do hlavy příčina, už dlouho nepoužívám administrátorská práva pro pracovní účet, v klidu trpím zadáváním hesla kde všude to je potřeba (což je minimum, ale přeci jen to je), o ostatních klasických pravidlech ani nemluvě.
Zkusím ještě napsat po pár dnech jak se situace vyvíjí.

Kdyby někoho napadly nějaké postřehy, tak si rád nechám poradit.

Fix result of Farbar Recovery Scan Tool (x64) Version: 24.10.2018
Ran by admin (05-11-2018 19:28:00) Run:8
Running from E:\Download\AntiVir
Loaded Profiles: l & admin & MSSQL$SQL12 (Available Profiles: l & admin & MSSQL$SQL12 & WebDriverInstaller & DefaultAppPool)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:

CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
ShellIconOverlayIdentifiers-x32-x32-x32-x32-x32: [OODIIcon] -> {14A94384-BBED-47ed-86C0-6BF63FD892D0} => -> No File
Task: {2ECD1180-FD4E-47B4-B9B9-CA2B73E85E6C} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-30] (Google Inc.)
Task: {584EE318-04F3-47D1-899C-FAA73C7933BE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-12-30] (Google Inc.)

EmptyTemp:
End
*****************

Processes closed successfully.
Restore point was successfully created.
HKLM\SOFTWARE\Policies\Google => removed successfully
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => removed successfully
ShellIconOverlayIdentifiers-x32-x32-x32-x32-x32: [OODIIcon] -> {14A94384-BBED-47ed-86C0-6BF63FD892D0} => -> No File => Error: No automatic fix found for this entry.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2ECD1180-FD4E-47B4-B9B9-CA2B73E85E6C}" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2ECD1180-FD4E-47B4-B9B9-CA2B73E85E6C}" => removed successfully
C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineUA => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineUA" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{584EE318-04F3-47D1-899C-FAA73C7933BE}" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{584EE318-04F3-47D1-899C-FAA73C7933BE}" => removed successfully
C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineCore => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineCore" => removed successfully

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 0 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 904 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
l => 15240846 B
admin.TlapXX => 8204 B
MSSQL$SQL12 => 0 B
WebDriverInstaller => 0 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 24.6 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 19:28:23 ====

[Rudy]

To jste mohl klidně smazat, je to jen pozůstatek připojení (mountování) zdrojového souboru při instalaci. Je to zbytečnost. V logu nic dalšího, co by mohlo být nebezpečné, není. Případné další problémy hlaste.