Wirus niewidoczny w procesach, blokujący przeglądarkę oraz opcje systemu.

[ZielonyZoltodziob]

Witam,

Wirus wywołuje znaczącą liczbę reklam wyskakujących w osobnych kartach lub oknach, jeśli przeglądarka zablokuje "wyskakujące okno" wówczas strona jest wywoływana ponownie aż przeglądarka się zawiesi. W menadżerze zadań nie widzę podejrzanych procesów, a gdy spada mi wydajność PC (kursor myszy zacina się a programy się nie uruchamiają) też nie jest widoczny (spadek). Problem zaczął się gdy zainstalowałem Operę. Czasami przy uruchamianiu przeglądarki wyskakuje mi error (wtedy też opcje zasilania są niedostępne restart etc.) Piszę post w notatniku ponieważ reklamy lub BSoD mi przerywa.

Edit: Zauważyłem że na przycisk pełen ekran na youtube jest nałożony przycisk przekierowujący na inne strony (strony i tak się włączają ale są blokowane przez przeglądarkę).

Edit: W rogu reklamy była nazwa jakiegoś programu. Załączam sceenshot pod nazwą trop.

Edit: Z stronę główną ma ustawiony link 

hxxp://nalewajko/AppData/Local/FASTExtensions/nfeotgmnpeepdbcklegpcengnhgllhoe

 

 

Ta witryna jest nieosiągalna

Nie udało się znaleźć adresu DNS serwera nalewajko
google: nalewajko AppData Local FAST Extensions nfeotgmnpeepdbcklegpcengnhgllhoe

 

Edit: Świerze logi w odpowiedziach, przepraszam za wprowadzanie chaosu.

Shortcut.txt

FRST.txt

Addition.txt

log gmer.txt

[jessica]

Na liście procesów nie ma "wirusa", ale na liście zainstalowanych programów jest:

DNSUnlocker (HKLM\...\{E1527582-8509-4011-B922-29E3FB548882}_is1) (Version:  - )
DNSUnlocker (HKLM-x32\...\{E1527582-8509-4011-B922-29E3FB548882}_is1) (Version: 1.4 - )

 

W ustawieniach DNS też widać:

Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{8DAA3523-D643-4F1D-AC78-F7A84C87AAB4}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{8DAA3523-D643-4F1D-AC78-F7A84C87AAB4}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{FA3BB4A6-4C1D-4BAD-82AF-EB3D9F48F5D3}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{FA5AA5F6-1DCC-4A76-BF13-00FA8BDAAE37}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{FA5AA5F6-1DCC-4A76-BF13-00FA8BDAAE37}: [DhcpNameServer] 82.163.143.171

 

W Zaplanowanych  Zadaniach też widać:

Task: {2FB063C5-ED79-44E0-8563-380D0F4D9712} - System32\Tasks\{2413686F-203B-3C72-EFAF-C91987318C41} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\73cfffd1\5de7122e.dll" <==== UWAGA
Task: {612FD73A-04D3-4F43-AA72-8FF64E7BC405} - System32\Tasks\DNSWAXHAW => dnswaxhaw.exe <==== UWAGA

 

Wiem, że to Ci nic nie da, bo i tak musisz czekać  na @Picasso (ja nie mam uprawnień do pomagania tu), ale przynajmniej masz teraz pewność, że "wirus" jest.

 

jessi

 

 

[ZielonyZoltodziob]

Dziękuję za wstępną analizę. Nie znam się na tym i jak nie widzę programu w liście programów do odinstalowania to myślę że ich nie ma .

[jessica]

Nie znam się na tym i jak nie widzę programu w liście programów do odinstalowania to myślę że ich nie ma .

ale te programy nie są ukryte, nie ma przy nich napisu "hidden"

(o ile w międzyczasie czymś ich nie usunąłeś)

[ZielonyZoltodziob]

Oops chyba rzeczywiście usunąłem, mam wysłać nowe logi? (problem nadal występuje)

[Rucek]

Tak, zrób nowe logi.

[ZielonyZoltodziob]

Logi z 2016-06-27

FRST.txt

Addition.txt

Shortcut.txt

LogGmer.txt

[jessica]

DNSUnlocker (HKLM\...\{E1527582-8509-4011-B922-29E3FB548882}_is1) (Version:  - )

Ten program dalej jest na liście Twoich programów.

Jeszcze raz przejrzyj programy - jeśli się nie mylę, to powinien być widoczny pod nazwą zaznaczoną w powyższym cytacie na czerwono.

 

Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

Tcpip\..\Interfaces\{FA3BB4A6-4C1D-4BAD-82AF-EB3D9F48F5D3}: [DhcpNameServer] 192.168.1.1

W routerze masz ustawione prawidłowe DNS, ale oprócz tych prawidłowych widać w logach też izraelskie DNS.

 

Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie (masz prawidłowe takie: 192.168.1.1), możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:

http://multimo.telestrada.pl/uwaga1

http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

 

Dodatkowo:

Do Notatnika wklej:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8DAA3523-D643-4F1D-AC78-F7A84C87AAB4}]
"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8DAA3523-D643-4F1D-AC78-F7A84C87AAB4}]
"DhcpNameServer"="192.168.1.1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8DAA3523-D643-4F1D-AC78-F7A84C87AAB4}]
"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8DAA3523-D643-4F1D-AC78-F7A84C87AAB4}]
"NameServer"="192.168.1.1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FA3BB4A6-4C1D-4BAD-82AF-EB3D9F48F5D3}]
"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FA3BB4A6-4C1D-4BAD-82AF-EB3D9F48F5D3}]
"NameServer"="192.168.1.1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FA5AA5F6-1DCC-4A76-BF13-00FA8BDAAE37}]
"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FA5AA5F6-1DCC-4A76-BF13-00FA8BDAAE37}]
"NameServer"="192.168.1.1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"NameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"NameServer"="192.168.1.1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FA5AA5F6-1DCC-4A76-BF13-00FA8BDAAE37}]
"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FA5AA5F6-1DCC-4A76-BF13-00FA8BDAAE37}]
"DhcpNameServer"="192.168.1.1"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

Otwórz Notatnik i wklej w nim:

 

 

Task: {2FB063C5-ED79-44E0-8563-380D0F4D9712} - System32\Tasks\{2413686F-203B-3C72-EFAF-C91987318C41} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\73cfffd1\5de7122e.dll" <==== UWAGA

RemoveDirectory: C:\PROGRA~3\73cfffd1

Task: {612FD73A-04D3-4F43-AA72-8FF64E7BC405} - System32\Tasks\DNSWAXHAW => dnswaxhaw.exe <==== UWAGA

ShortcutWithArgument: C:\Users\Piotr Nalewajko\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=C:\Users\Piotr Nalewajko\AppData\Local\FASTExtensions\nfeotgmnpeepdbcklegpcengnhgllhoe

ShortcutWithArgument: C:\Users\Piotr Nalewajko\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr Nalewajko\AppData\Local\FASTExtensions\nfeotgmnpeepdbcklegpcengnhgllhoe"

ShortcutWithArgument: C:\Users\Piotr Nalewajko\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Piotr Nalewajko\AppData\Local\FASTExtensions\nfeotgmnpeepdbcklegpcengnhgllhoe () -> --load-extension=C:\Users\Piotr Nalewajko\AppData\Local\FASTExtensions\nfeotgmnpeepdbcklegpcengnhgllhoe

2016-06-24 15:09 - 2016-06-24 15:09 - 00022172 _____ C:\Windows\System32\Tasks\DNSWAXHAW

2016-06-24 15:09 - 2016-06-24 15:09 - 00003748 _____ C:\Windows\System32\Tasks\{2413686F-203B-3C72-EFAF-C91987318C41}

C:\Windows\Minidump\*.dmp

S2 Helper; "C:\Program Files (x86)\Sysdriver\Scheduler.Service.exe" [X]

RemoveDirectory: C:\Program Files (x86)\Sysdriver

R2 Scheduler; C:\Program Files (x86)\Windriver\Scheduler.Service.exe [8192 2016-04-12] (Microsoft) [brak podpisu cyfrowego]

RemoveDirectory: C:\Program Files (x86)\Windriver

HKLM\...\Run: [iDSCCOMIUJ] => "C:\Program Files (x86)\Max Driver Updater\idsccom_IUJ.exe"

RemoveDirectory: C:\Program Files (x86)\Max Driver Updater

E:\Users\Public\Desktop\Battle Realms Complete.lnk

E:\Users\Public\Desktop\Fraps.lnk

E:\Users\Public\Desktop\Heroes of the Storm Public Test.lnk

E:\Users\Public\Desktop\Movavi Video Converter 16.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Potem zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

 

Logu z GMER raczej już nie musisz robić - nie ma w nim niczego podejrzanego.

.

jessi

 

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:

http://tools.cert.orange.pl/modemscan/

[ZielonyZoltodziob]

Ten program dalej jest na liście Twoich programów.

Jeszcze raz przejrzyj programy - jeśli się nie mylę, to powinien być widoczny pod nazwą zaznaczoną w powyższym cytacie na czerwono.

Na 100% nie ma na liście programów (sprawdzałem programy jeden po drugim).

 

Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie (masz prawidłowe takie: 192.168.1.1), możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:

http://multimo.telestrada.pl/uwaga1

http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

Coś zepsułem w opcjach więc wróciłem do opcji fabrycznych routera, hasło zmienione ale nie wiem jak zablokować dostęp. Obawiam się tego zrobić ponieważ mój router nie ma przycisku reset (tylko "pstryczek" 1-0) więc nie mógłbym zmieniać ustawień. Nie zmieniłem opcji dns bo są automatyczne i chyba reset to załatwił. Wstawiam screenshot ustawień, może ty się domyślisz gdzie to może być.

Pozostałe polecenia wykonałem zgodnie z twoimi instrukcjami.

Edit: Chyba dezynfekcja się powiodła, yt działa normalnie.

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

==================== Zainstalowane programy ======================

 

DNSUnlocker (HKLM\...\{E1527582-8509-4011-B922-29E3FB548882}_is1) (Version:  - )

bez komentarza.

 

Fixlog wygląda, jakbyś powtarzał dwa razy usuwanie.

Ale to nieistotne.

 

 

W logu FRST.txt widać tylko prawidłowe DNS, więc na routerze są prawidłowe - Fix.Reg mógł zmienić DNS w Rejestrze, ale nie mógł zmienić w routerze, więc jeśli byłoby na nim jeszcze "złe" DNS, to aktualny FRST by to na pewno wykrył i pokazał.

 

Jeszcze:

Otwórz Notatnik i wklej w nim:

 

 

C:\ProgramData\mntemp

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

 

Wg mnie powinno już być OK.

Ale być może @Picasso jeszcze obejrzy temat (choć nie wiem, kiedy), więc nie daję zaleceń kończących.

 

 

jessi

[ZielonyZoltodziob]

Dzięki

Fixlog.txt

[jessica]

OK, wykonane.

 

Jeśli @Picasso w najbliższym czasie nie zgłosi tu swoich zaleceń/uwag, to będziemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

Fix.Reg - usuń ręcznie.

 

jessi

[ZielonyZoltodziob]

Zrobione, dziękuje za usunięcie infekcji.

 

Fixlog.txt