Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

pomoc a adware rookit

martinesq

Przez martinesq
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

System został zainfekowany przez adware podmieniające Publsihera, siedzi to w Powłoce startowej oraz w Harmonogramie zadań. Głównym problem jest tutaj jednak infekcja routera, a raczej jego adresów. Ustawione adresy są zagraniczne - jeden z Holandii (KLIK) - drugi z Hong Kongu (KLIK). Uznaję to za niedomyślną modyfikację i przechodzę do jej usunięcia. 
 
1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony przejdź do wykonywania poniższych działań. 

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Task: {29D11A6F-5938-4D30-B16F-3E4C17086C43} - \dKOivBAxh2jP -> Brak pliku Task: {31C0FC9C-40BF-4490-861F-C8D4CF479986} - \Deqise -> Brak pliku Task: {7510C4BD-D08C-4A03-9856-1E49D84E94A2} - \{23206F16-948B-D8BD-AA78-5AE1CCCDC7F2} -> Brak pliku Task: {7B12CC1B-E5B9-422B-AE3B-237556C33ABF} - \{EAC84D92-D3FB-220A-8FA8-DFD354A5DC58} -> Brak pliku Task: {93EA8CF2-2A80-4E85-BFC8-538590B24B7A} - \{7F7D7947-0804-0578-0E11-780F7A7E110E} -> Brak pliku Task: {FB8E46F4-C615-4580-9DA6-CCC4C2068EEB} - System32\Tasks\Perkettimise Collector => C:\Program Files (x86)\Kjoght\xarapoy.exe [2017-04-21] (Google Inc.)
C:\Program Files (x86)\Kjoght
C:\Program Files (x86)\Kjoght_
ShellExecuteHooks: Brak nazwy - {35C42D40-2348-11E7-B85A-64006A5CFC23} - C:\Users\mateusz\AppData\Roaming\Cehichrocerch\Ghailesewaent.dll -> Brak pliku
C:\Users\mateusz\AppData\Roaming\Cehichrocerch
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-3466041570-3147851122-1273507371-1001 -> {3461B49C-F1F6-479B-BDA6-610E768D8F78} URL =
SearchScopes: HKU\S-1-5-21-3466041570-3147851122-1273507371-1001 -> {ielnksrch} URL =
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\g52mj76t.default ->
FF Keyword.URL: Mozilla\Firefox\Profiles\g52mj76t.default -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=H4Lzbcnbl1AU,91a0034a-7354-4ca9-b6e0-56e1596c18df,
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
CMD: ipconfig /flushdns
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Tcpip\..\Interfaces\{30451EB0-9498-420F-B3B9-EEC5E4B6E782}: [DhcpNameServer] 208.67.222.222 8.8.8.8
Tcpip\Parameters: [DhcpNameServer] 208.67.222.222 8.8.8.8
DNS Servers: 208.67.222.222 - 8.8.8.8



Na routerze jest jeszcze jeden szkodliwy adres, którego nie usunąłeś - usuń go.

 

Reszta pomyślnie wykonana, zakończymy sprawę z routerem, będą poprawki i kończymy. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...