Skocz do zawartości

Problem z "ads by counterflix"


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System został zainfekowany infekcją Trojan.DNSChanger, która doprowadziła do zmiany DNS na szkodliwe, bo zarażone. Adresy pochodzą z Izreala (KLIK / KLIK) i są ustawione zarówno z poziomu Windows jak i z poziomu routera, więc trzeba je w pierwszej kolejności wywalić z routera, a następnie z Windows. Oprócz tego widoczne są też inne infekcje adware.   

 

P.S: SpyHunter - program wątpliwej reputacji, raczej unikać. Z folderu Pobrane usuwam jego plik instalacyjny.

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony przejdź do wykonywania następnych działań.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {7251B807-16EF-4ABD-A0C4-69588F39789A} - System32\Tasks\{08097847-7805-787F-7911-7E050C0A110B} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ADsAOwA7ADsAIAAgADsAIAA7ADsAOwA7ADsAOwA7ACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (dane wartości zawierają 9656 znaków więcej). 
Task: {8C7CF4FE-EA04-4FD8-99D6-8112A32D2DF8} - System32\Tasks\{D549DCDE-B906-70A7-81D6-5C42F172826E} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c878c6d0\9386603b.dll" 
Task: {9E55D43A-46D5-4F3D-AC00-0E1AB2BEC620} - System32\Tasks\{8763FEE4-30C8-494F-60EA-05F95BA66AFD} => C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383}\9B12BA33-2CB9-0D98-A34F-C31183F75BE2.exe [2017-03-09] () 
C:\PROGRA~3\c878c6d0
C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383}
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
GroupPolicy: Ograniczenia 
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{78f3f90e-6e5d-4ac3-a65c-340917324d68}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{c3547b3f-fe86-413b-9973-67e6a5ad864e}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{fb96a2d7-71ed-4d16-b746-cf42d9834262}: [NameServer] 82.163.143.176 82.163.142.178
HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid=%7B7C68D598-E20B-455E-8B3B-BFD89224634F%7D&i=
HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&i=
SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> DefaultScope {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search
SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search
2017-03-10 18:18 - 2017-03-10 18:18 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\Wojciech Ferenc\Downloads\sh-remover.exe
2017-03-09 16:31 - 2017-03-09 16:31 - 00000000 ____D C:\ProgramData\425cd681-12f3-0
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\c878c6d0
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\425cd681-78b5-0
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{5bd3301f-712c-0}
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{31ff7c20-512c-1}
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0fbe3cb6-412c-1}
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0a8d3dfd-412c-0}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kX Audio Driver\kX Help (Version 3548).lnk
CMD: ipconfig /flushdns
EmtyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...