Podmieniły się DNSy

[slayne]

Witam

 

Proszę o pomoc w imieniu znajomego.

 

Po krótce opiszę w czym problem. Znajomy ma Neostradę i router TP-LINK TD-8901G. Wiem, że na pewno nadawałem mu w ustawieniach DNSy TPSA i że nie zmieniałem hasła a teraz nie mogę się do niego dostać. Pewnie będę musiał rozbić restart do ustawień fabrycznych.

 

Chodzi o to, że na komputerze występuje problem z internetem. Strony się nie otwierają. Podejrzewam, że jest to problem DNSów bo nie wiem skąd ale teraz router przydziela takie DNSy: 173.193.227.124 oraz 173.192.105.217. Poszukałem w necie to niby że są to jakieś hackerskie i że ktoś mógł włamać się na router i zmienić hasło. Ręcznie wpisałem ustawienia w kartę sieciową i na razie działa, ale pewnie coś siedzi na kompie bo skąd to włamanie. W tej sieci działa kilka komputerów. Wszystkie są w jednym domu. Bo dzieci mają i rodzice. Podejrzewam, że pewnie resztę też będzie trzeba poddać analizie, żeby wyeliminować wszystko.

 

Proszę o pomoc. Oto logi

Extras.Txt

OTL.Txt

gmer.txt

[Landuss]

Jest infekcja oraz niepotrzebne toolbary głównie o charakterze sponsoringowym i to wszystko będziemy usuwać.

 

1. Panel sterowania > dodaj/usuń programy i odinstaluj następujące pozycje - Babylon toolbar / DAEMON Tools Toolbar / DVDVideoSoftTB Toolbar / Softonic-Eng7 Toolbar / SpeedBit Toolbar

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files\ConduitEngine
C:\Documents and Settings\gaska\Dane aplikacji\PriceGong
C:\Documents and Settings\gaska\Dane aplikacji\ProgSense
C:\Documents and Settings\gaska\Dane aplikacji\searchqutb
C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2
 
:OTL
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014
FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=101&q="
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
FF - prefs.js..browser.search.order.1: "Web Search"
[2010-07-04 09:06:50 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2011-01-22 23:59:47 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}
[2010-07-05 21:35:46 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010-02-09 14:11:14 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\DTToolbar@toolbarnet.com
[2010-12-03 20:31:12 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\ffxtlbr@babylon.com
[2010-02-09 14:11:10 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\searchplugins\daemon-search.xml
[2010-08-12 12:12:24 | 000,005,529 | ---- | M] () -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\searchplugins\SearchquWebSearch.xml
[2010-02-09 14:09:28 | 000,000,000 | ---D | M] (SpeedBit Toolbar) -- C:\PROGRAM FILES\SPEEDBIT TOOLBAR\SPFIREFOX
[2010-12-03 20:31:02 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
[2010-08-12 12:12:24 | 000,005,529 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O20 - HKLM Winlogon: Shell - ("C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2\csrss.exe") - C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2\csrss.exe (Opera Software)
[2011-02-19 11:27:00 | 000,001,034 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011-02-19 11:21:31 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011-02-19 11:17:00 | 000,001,132 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1275210071-527237240-682003330-1003UA.job
[2011-02-18 19:17:00 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1275210071-527237240-682003330-1003Core.job
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2\csrss.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[slayne]

Odinstalowałem toolbary, wykonałem skrypt. Nie mam logu z wykonania skryptu. Nie wiem czy się nie pokazał. Robię zdalnie na komputerze znajomego za pomocą Teamviewera.

 

Oto nowe logi:

 

OTL.Txt

Extras.Txt

[Landuss]

Skrypt nie został kompletnie wykonany. Prosze powtórzyć operacje.

[slayne]

Dodaje nowe logi ale po rozmiarze widzę, że chyba nic się nie zmieniło. Pewnie będę musiał się wybrać osobiście do znajomego bo to pewnie wina TeamViewera, że się wszystko nie wykonuje.

 

OTL.Txt

Extras.Txt

[Landuss]

Nic się nie zmieniło. Musisz tam iść osobiście i to wykonać. Widocznie przez ten sposób to nie przejdzie.

Edytowane 3 Kwietnia 2011 przez picasso
3.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso