Wyskakujące reklamy w przeglądarkach

[Szczurak]

Witam,

 

od jakiegoś czasu mam wysyp reklam, zapewne jakiś złośliwy wirus. Przeskanowałem już Advcleanerem i Malwarebytes Anti-Malware, wykryło parę zagrożeń ale po ich skasowaniu problem nadal jest. Proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Infekcja grasuje, ale nie pomogą żadne skanery uruchomione spod Windows. Infekcja nie jest w Windows tylko w routerze. Poniższy adres IP pobierany z routera jest holenderski:

 

Tcpip\Parameters: [DhcpNameServer] 217.12.218.49 8.8.8.8

Tcpip\..\Interfaces\{fb4685f4-80c9-4612-9582-c09c9b33d3c0}: [DhcpNameServer] 217.12.218.49 8.8.8.8

 

 

Działania do przeprowadzenia:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony działania poboczne:

 

2. Odinstaluj stare wersje: Adobe Flash Player 22 NPAPI, Apple Software Update, Java 8 Update 45, Obsługa programów Apple, Opera Stable 31.0.1889.99, QuickTime 7, Shared C Run-time for x64 (odpadek po odinstalowanym McAfee).

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {1332F807-AC5B-483F-AFE4-70579AE9F0F5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {13FC41ED-F771-4E0E-BFCA-E86ACEEDA1D1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {360F2EBD-5242-43FB-8950-573D85690531} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {3987D85B-9932-498A-8301-3591BE23BFDE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {4396236F-33D2-4D98-9732-A0592CAA3F0A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {99E02C5D-1804-4DA4-9643-4069FB290B0A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {B245FC28-BBB5-485F-B1FC-F30D9C23BCA9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {D3831AFA-97A2-429E-AA04-B17BC581203F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {DB090064-95BA-481B-A4CA-052A8EDD2D43} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {DC187BC8-57AB-407A-BB6F-7FFADA566A76} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {DE8D75ED-823C-4820-A8B5-4FAC2F4F0C0A} - System32\Tasks\UMonitor Task => C:\WINDOWS\system32\UMonit64.exe
Task: {E1A9FF36-8CF0-4B67-B78A-D73C3700EA66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {E81011DE-FF46-4753-A696-92CBB0E6F323} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
U0 aswVmm; Brak ImagePath
HKLM\...\Run: [RtsCM] => RTSCM64.EXE
HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
BHO-x32: Brak nazwy -> {1017A80C-6F09-4548-A84D-EDD6AC9525F0} -> Brak pliku
BHO-x32: Brak nazwy -> {D2C5E510-BE6D-42CC-9F61-E4F939078474} -> Brak pliku
SearchScopes: HKU\S-1-5-21-1242821795-1179061920-3428311120-1002 -> {D89B578C-5E3F-4454-9A05-4FA1ABAC46BB} URL =
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\AVAST Software
C:\ProgramData\AVAST Software
C:\Users\Lapek\AppData\Local\Google\Chrome\User Data\Guest Profile
C:\Users\Lapek\AppData\Local\Google\Chrome\User Data\System Profile
C:\WINDOWS\system32\Drivers\aswsnx.sys.147379071746807
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki model routera jest w rękach.

[Szczurak]

Dzięki za szybką odpowiedź . Z routerem mogę mieć trochę zabawy ale jak się tylko z nim uporam, odezwę się.

[Szczurak]

Trochę inne obowiązki mnie oderwały od naprawy ale już wykonałem wszystkie zalecenia.

Model routera to Asus RT-N12E

FRST.txt

Fixlog.txt

[picasso]

Router został pomyślnie skonfigurowany, obecnie są z niego pobierane adresy Google:

 

Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4

Tcpip\..\Interfaces\{92617932-a21b-4b06-bb91-85e742c7bd0a}: [DhcpNameServer] 8.8.8.8 8.8.4.4

 

Sprawdź jeszcze czy masz najnowsze firmware zainstalowane. Na stronie pobierania najnowsza dostępna wersja to 2.0.0.37: KLIK.

[Szczurak]

Zainstalowałem już najnowszą wersję, co zrobić teraz z adresami dns, pozostawić te co są obecnie czy zmienić. Jak zmienić, to na jakie

[Szczurak]

Działa na tych obecnych obecnych ustawieniach, brak szkodliwych reklam, w porównaniu z podłączeniem kablowym mam o jakieś 20mb wolniejsze pobieranie i 10mb wysyłanie ale u mnie zawsze to trochę po wifi chodziło, mimo że nie powinno.

 

Tak czy inaczej bardzo dziękuje za pomoc

[picasso]

co zrobić teraz z adresami dns, pozostawić te co są obecnie czy zmienić. Jak zmienić, to na jakie

Adresy Google mogą pozostać, jeśli nie wiesz jakie oryginalnie były adresy DNS od dostawcy sieci.

 

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko.

 

 

PS. Mam prośbę. Czy mógłbyś zrobić zrzuty ekranu z Twojej konfiguracji routera (ustawienia DNS i zamknięcie dostępu do Internetu) i wysłać mi na PW? To do mojego ukrytego tematu o usuwaniu infekcji DNS, którego jeszcze nie opublikowałam. Zrzuty ekranu przydadzą się innym użytkownikom.