rollcage Opublikowano 10 Marca 2017 Zgłoś Udostępnij Opublikowano 10 Marca 2017 Cześć Mam problem z robakiem który się u mnie zainstalował "ads by counterflix" i próbuje na siłę otwierać duża ilość okienek w przeglądarce, a także dorzuca reklamy przy zdjęciach (np. na serwisie Allegro) Proszę o pomoc w usunięciu tego robaka Zamieszczam logi Dzięki Wojtek Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Marca 2017 Zgłoś Udostępnij Opublikowano 10 Marca 2017 System został zainfekowany infekcją Trojan.DNSChanger, która doprowadziła do zmiany DNS na szkodliwe, bo zarażone. Adresy pochodzą z Izreala (KLIK / KLIK) i są ustawione zarówno z poziomu Windows jak i z poziomu routera, więc trzeba je w pierwszej kolejności wywalić z routera, a następnie z Windows. Oprócz tego widoczne są też inne infekcje adware. P.S: SpyHunter - program wątpliwej reputacji, raczej unikać. Z folderu Pobrane usuwam jego plik instalacyjny. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony przejdź do wykonywania następnych działań. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7251B807-16EF-4ABD-A0C4-69588F39789A} - System32\Tasks\{08097847-7805-787F-7911-7E050C0A110B} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAA7ADsAOwA7ADsAIAAgADsAIAA7ADsAOwA7ADsAOwA7ACAAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIA (dane wartości zawierają 9656 znaków więcej). Task: {8C7CF4FE-EA04-4FD8-99D6-8112A32D2DF8} - System32\Tasks\{D549DCDE-B906-70A7-81D6-5C42F172826E} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c878c6d0\9386603b.dll" Task: {9E55D43A-46D5-4F3D-AC00-0E1AB2BEC620} - System32\Tasks\{8763FEE4-30C8-494F-60EA-05F95BA66AFD} => C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383}\9B12BA33-2CB9-0D98-A34F-C31183F75BE2.exe [2017-03-09] () C:\PROGRA~3\c878c6d0 C:\ProgramData\{81E8E00B-3643-57A0-726E-5E20F5008383} AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] GroupPolicy: Ograniczenia Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{78f3f90e-6e5d-4ac3-a65c-340917324d68}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{c3547b3f-fe86-413b-9973-67e6a5ad864e}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{fb96a2d7-71ed-4d16-b746-cf42d9834262}: [NameServer] 82.163.143.176 82.163.142.178 HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid=%7B7C68D598-E20B-455E-8B3B-BFD89224634F%7D&i= HKU\S-1-5-21-1347009996-1066884544-4165590377-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&i= SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> DefaultScope {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search SearchScopes: HKU\S-1-5-21-1347009996-1066884544-4165590377-1001 -> {1E2C84C3-99D6-46E2-A0B2-2D9CDAC250C3} URL = hxxp://services.eshield.com/tb/search.php?guid={7C68D598-E20B-455E-8B3B-BFD89224634F}&k={searchTerms}&action=default_search 2017-03-10 18:18 - 2017-03-10 18:18 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\Wojciech Ferenc\Downloads\sh-remover.exe 2017-03-09 16:31 - 2017-03-09 16:31 - 00000000 ____D C:\ProgramData\425cd681-12f3-0 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\c878c6d0 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\425cd681-78b5-0 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{5bd3301f-712c-0} 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{31ff7c20-512c-1} 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0fbe3cb6-412c-1} 2017-03-09 16:26 - 2017-03-09 16:26 - 00000000 ____D C:\ProgramData\{0a8d3dfd-412c-0} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kX Audio Driver\kX Help (Version 3548).lnk CMD: ipconfig /flushdns EmtyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
rollcage Opublikowano 10 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2017 Cześć Dzięki za odzew, hasło na routerze zmienione, za to w ustawieniach mojego routera LTE z Orange nie ma opcji zmiany DNSów, dlatego na wszystkich urządzeniach w domu ustawiłem na sztywno DNSy. Testy ze strony przeszły pozytywnie. W załączeniu logi z FRST i Malwarebytes Pozdrawiam Fixlog.txt FRST.txt mwlogi.txt Odnośnik do komentarza
rollcage Opublikowano 13 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2017 Coś moja i Miszela ostatnia wypowiedz na temat nowych logów zniknęła. Zamieszczam potwornie Fixlog.txt Fixlog_old.txt FRST.txt mwlogi.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się