Problem z "ads by counterflix"

rollcage · 10 Marca 2017

Cześć

Mam problem z robakiem który się u mnie zainstalował "ads by counterflix" i próbuje na siłę otwierać duża ilość okienek w przeglądarce, a także dorzuca reklamy przy zdjęciach (np. na serwisie Allegro)

Proszę o pomoc w usunięciu tego robaka

Zamieszczam logi

Dzięki

Wojtek

Miszel03 · 10 Marca 2017

System został zainfekowany infekcją Trojan.DNSChanger, która doprowadziła do zmiany DNS na szkodliwe, bo zarażone. Adresy pochodzą z Izreala (KLIK / KLIK) i są ustawione zarówno z poziomu Windows jak i z poziomu routera, więc trzeba je w pierwszej kolejności wywalić z routera, a następnie z Windows. Oprócz tego widoczne są też inne infekcje adware.

P.S: SpyHunter - program wątpliwej reputacji, raczej unikać. Z folderu Pobrane usuwam jego plik instalacyjny.

1. Zaloguj się do routera:

Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony przejdź do wykonywania następnych działań.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: {7251B807-16EF-4ABD-A0C4-69588F39789A} - System32\Tasks\{08097847-7805-787F-7911-7E050C0A110B} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ADsAOwA7ADsAIAAgADsAIAA7ADsAOwA7ADsAOwA7ACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (dane wartości zawierają 9656 znaków więcej). 
Task: {8C7CF4FE-EA04-4FD8-99D6-8112A32D2DF8} - System32\Tasks\{D549DCDE-B906-70A7-81D6-5C42F172826E} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c878c6d0\9386603b.dll" 
Task: {9E55D43A-46D5-4F3D-AC00-0E1AB2BEC620} - System32\Tasks\{8763FEE4-30C8-494F-60EA-05F95BA66AFD} => C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383}\9B12BA33-2CB9-0D98-A34F-C31183F75BE2.exe [2017-03-09] () 
C:\PROGRA~3\c878c6d0
C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383}
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
GroupPolicy: Ograniczenia 
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{78f3f90e-6e5d-4ac3-a65c-340917324d68}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{c3547b3f-fe86-413b-9973-67e6a5ad864e}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{fb96a2d7-71ed-4d16-b746-cf42d9834262}: [NameServer] 82.163.143.176 82.163.142.178
HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid=%7B7C68D598-E20B-455E-8B3B-BFD89224634F%7D&i=
HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&i=
SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> DefaultScope {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search
SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search
2017-03-10 18:18 - 2017-03-10 18:18 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\Wojciech Ferenc\Downloads\sh-remover.exe
2017-03-09 16:31 - 2017-03-09 16:31 - 00000000 ____D C:\ProgramData\425cd681-12f3-0
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\c878c6d0
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\425cd681-78b5-0
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{5bd3301f-712c-0}
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{31ff7c20-512c-1}
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0fbe3cb6-412c-1}
2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0a8d3dfd-412c-0}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kX Audio Driver\kX Help (Version 3548).lnk
CMD: ipconfig /flushdns
EmtyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

rollcage · 10 Marca 2017

Cześć

Dzięki za odzew, hasło na routerze zmienione, za to w ustawieniach mojego routera LTE z Orange nie ma opcji zmiany DNSów, dlatego na wszystkich urządzeniach w domu ustawiłem na sztywno DNSy. Testy ze strony przeszły pozytywnie.

W załączeniu logi z FRST i Malwarebytes

Pozdrawiam

Fixlog.txt

FRST.txt

mwlogi.txt