DNS Unlocker, wykonywanie skryptów, itp.

[nhost]

Witam, mam problem z powracającym DNS Unlocker'em.

 

Infekcja objawia się wyskakującymi na potęgę okienkami, ładowaniem pół stron reklam w przeglądarce, a przy uruchomieniu wykonywaniem skryptu [...asrvvv-a.akamaihd.net...]

 

Stosowane były programy AdwCleaner i MalwareBytes, które doraźnie pomagały. Przeglądarka Firefox została odświeżona, nie ma żadnych zainstalowanych rozszerzeń. Po około godzinie pracy z komputerem problem powracał. 

Załączam logi z FRBR.

 

- dodałem rezultat skanu z GMER

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

W raportach widać owszem izraelskie adresy IP ustawione w wartościach NameServer (DNS strony Windows) i DhcpNameServer (DNS strony routera), tylko nie wiadomo czy to interfejsy nadal aktywne, logi FRST były robione podczas braku połączenia z internetem. Wstępnie usunę te wpisy na poziomie rejestru, ale jeśli router jest rzeczywiście zainfekowany, to nie pomoże i trzeba będzie przeprowadzić inny rodzaj czyszczenia.

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{16A88122-A6CD-464D-A9F0-09ACD838E7B2}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{921EA7F4-6DE0-466C-9E36-24BCB09F7481}: [DhcpNameServer] 82.163.143.171
HKLM\...\Run: [] => [X]
S3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X]
Task: {B5A81B00-B0A4-4D5F-9325-3ABB9425680E} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-03] (AVAST Software)
Task: {E493D2B0-4101-4303-800A-5555066572EF} - System32\Tasks\{E9DB6DFC-515C-465F-93B6-7620309544EF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.59.103/pl/abandoninstall?page=tsMain
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
Toolbar: HKU\S-1-5-21-142685641-1434691135-2110308453-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
HKU\S-1-5-21-142685641-1434691135-2110308453-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk
C:\Users\User\Desktop\Wszystko\tali\chrzciny Marysi\SAM_1137 — skrót.lnk
C:\Users\User\Downloads\ReimageRepair.exe
C:\windows\system32\Drivers\aswsp.sys.146730414592002
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Podłącz internet. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Edytowane 14 Września 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso