Trojan w sieci? Zarażone 2 komputery + router

[krzysiek88]

Witam.

 

Na wstępie zaznaczę, że sprawa dotyczy nie moich komputerów, nie mam pełnej wiedzy co zostało wcześniej robione i jak doszło do zarażenia.

 

Opis sytuacji:

Zainfekowane są 2 komputery (laptop i stacjonarny) działające w tej samej sieci. Infekcja objawia się wyświetlaniem reklam na stronach internetowych, pop-up z reklamami porno i w aplikacjach korzystających z sieci (np. http://zapodaj.net/9f26d2b1868c3.jpg.html),czasem blokadą niektórych stron www ("Tu policja, zablokowaliśmy ten komputer" itp.). Oprócz tego, połączenie się przez telefon z androidem przez wifi (nie był podłączany w żaden sposób do żadnego z komputerów) do tej sieci spowodowało również wyświetlanie tych samych reklam na każdej stronie na tym telefonie nawet na połączeniu z inną siecią, ale tam dało się to łatwo usunąć przez program CM Security. Zakładam więc, że router został również zainfekowany.

Oba komputery chodzą pod Windows 7 x64.

 

Co zostało zrobione:

Skan na komputerze nr 1 (laptop) - Avast w ostatnich skanowaniach wykrył: JS-Wysotot-A [Trj], JS-ScriptIP-inf [Trj], HTML:Fakelock-F [Trj] - usunięte, brak rezultatów.

Skanowane było również Malwarebytes, Ad-aware, nie wiem co zostało wykryte, w każdym razie nie pomogło.

 

Sieć:

Działa pod kontrolą Tp-linka TD-W8901G v. 3 (ADSL, Netia). Wgrałem najnowszy firmware, reset routera do ustawień fabrycznych, na telefonie wydaje się, że pomogło.

Zarówno wcześniej jak i teraz nie było ustawione domyślne hasło wejścia do konfiguracji routera, oprócz loginu, bo nie da się zmienić.

 

W załącznikach logi do komputera nr 1, zaraz wrzucę w kolejnym poście do komputera nr 2.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Extras.Txt

OTL.Txt

checkup.txt

[krzysiek88]

Komputer 2 (stacjonarny).

 

Ten działa z Panda Cloud Antivirus, z tego co widzę w historii brak wykrytych zagrożeń, ale w aplikacjach (np. Neverwinter online) są reklamy.

 

Dziękuję z góry za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Extras.Txt

OTL.Txt

checkup.txt

[picasso]

Sieć:

 

Działa pod kontrolą Tp-linka TD-W8901G v. 3 (ADSL, Netia). Wgrałem najnowszy firmware, reset routera do ustawień fabrycznych, na telefonie wydaje się, że pomogło.

 

Zarówno wcześniej jak i teraz nie było ustawione domyślne hasło wejścia do konfiguracji routera, oprócz loginu, bo nie da się zmienić.

Czy zabezpieczyłeś router poprzez wyłączenie dostępu do panelu zarządzania od strony internetu? Porównaj z tymi artykułami: KLIK, KLIK.

 

 

Na obu systemach brak oznak infekcji. Do wyczyszczenia tylko wpisy puste / szczątki programów oraz cache (bufor DNS + cache przeglądarek):

 

 

LAPTOP:

 

1. Odinstaluj starą wtyczkę Adobe Flash Player 12 ActiveX. A resztę zaktualizuj: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
BootExecute: autocheck autochk * sdnclean64.exe
SearchScopes: HKLM-x32 - DefaultScope value is missing.
BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF Plugin-x32: @ogplanet.com/npOGPPlugin -> C:\Windows\system32\npOGPPlugin.dll No File
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
Task: {7E06FA46-7AFB-48D3-AD95-236C4D0CC3DB} - System32\Tasks\{A0FB272A-A40D-425C-A770-C013A6E0DDDB} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain
Task: {C99E8B1F-AADD-4836-B7D2-22E6A300CF31} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\TEMP
C:\Windows\system32\Drivers\48230029.sys
C:\Windows\System32\Tasks\Safer-Networking
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

STACJONARNY:

 

Dodatkowa uwaga: główną przeglądarką jest tu Opera beta. Jej zawartość jest kompletnie nieznana, gdyż żadne z narzędzi jej nie skanuje. Toteż pobiorę dane o niej w skrypcie poniżej. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe,


ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File

BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bit

S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]

C:\Program Files (x86)\mozilla firefox

C:\Users\Boginie\AppData\Roaming\Mozilla

C:\Users\Boginie\Downloads\*.tmp

Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f

Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

Folder: C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Next\Extensions

CMD: type "C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Next\Preferences"

Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaNext\shell\open\command" /s

CMD: ipconfig /flushdns

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

 

.