Malware / Wirus strona policji w przeglądarce


(Bet2012) #1

Witam. 

 

Mam problem, otóż ostatnio włączyłem komputer po długiej nieobecności i po odpaleniu opery po ok. kilkudziesięciu sekundach włączyła mi się strona gdzie niby mam do zapłaty jakąś grzywnę. Od razu wiedziałem, że to wirus. Ale mam problemy z usunięciem tego - pobrałem program Malwarebytes Anti-Malware jednak on skutecznie blokuje ale nie usuwa tego wirusa ;/

 

Dodatkowo to samo wyskakuje mi w telefonie w przeglądarce (prawdopodobnie odwiedziłęm tę samą strone na komputerze a później na telefonie i wirus przeszedł) super jakby ktoś mógł pomóc jeszcze usunąć to z telefonu. 

 

Tutaj screenshot jak wygląda ta blokada (link jest):

 

PafN6M2.png

 

 

 

Skany OTL:

http://wklej.org/id/1472798/

 

 

Skany Farbar recovery scan tool:

 

FRST.txt:

http://www.wklej.org/id/1472788/

 

Skan Addition.txt:

http://www.wklej.org/id/1472784/


(Atis) #2

Zainfekowany router:

http://forum.dobreprogramy.pl/polizja-jak-usunąć-wirusa-t480383/?p=3071859


(Bet2012) #3

 

Zrobiłem tak jak w poście - zresetowałem ustawienie routera, zabezpieczyłem go, zmieniłem DNSy na statyczne w protokole v4 i wyczyściłem wszystko CC cleanerem i po chwili znowu malware zablokował takie coś:

 

SoXsvV2.jpg


(Atis) #4

Odinstaluj Splashtop Connect for Firefox i Splashtop Connect IE.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [ZyngaGamesAgent] => "D:\Program Files\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe"
ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Startup: D:\Users\Way to Dream\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll No File
FF NetworkProxy: "no_proxies_on", "localhost, 127.0.0.1, autofillmagic.com"
FF HKLM\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - D:\Program Files\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}
FF HKLM\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - D:\Program Files\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}
FF HKLM\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - D:\Program Files\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66}
S2 WCUService_STC_FF; D:\Program Files\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [X]
S2 WCUService_STC_IE; D:\Program Files\Splashtop\Splashtop Connect IE Software Updater\WCUService.exe [X]
Task: {1D52B3CD-17D4-4B32-B26B-22B9E9D0C1CB} - System32\Tasks\{A89F1C08-C8AA-4CBA-9975-6611CCA240DB} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {4C50B5C4-365F-40D5-B043-3FE52EA4FAD2} - System32\Tasks\ROC_JAN2013_TB_rmv => D:\Program Files\AVG Secure Search\PostInstall\ROC.exe
Task: {56DCECE0-757C-40F0-927B-413670AF0DB5} - System32\Tasks\avast! Emergency Update => D:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: D:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => D:\Program Files\AVG Secure Search\PostInstall\ROC.exe
CMD: ipconfig /flushdns
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Bet2012) #5

Zastosowałem się do Twojej instrukcji - Odinstalowałem te dwa programy. AdwCleanerem usunałem co się dało.

 

Przeniosłem program FRST na pulpit i tam utworzyłem plik fixlist.txt i uruchomiłem funkcje FIX w programie. Log poniżej:

http://wklej.org/id/1473270/

 

A tutaj log ze scana:

http://wklej.org/id/1473274/

 

 

I jak wygląda teraz sytuacja?


(Atis) #6

Nadal masz zainfekowany router: http://whois.domaintools.com/5.175.225.147

Skasuj folder D:\FRST i D:\AdwCleaner


(Bet2012) #7

Masz racje. Poprawiłem jeszcze raz ustawienie TP-Linka i chyba teraz już jest ok tcpip parameters:

http://wklej.org/id/1473357/


(Atis) #8

Nie widać infekcji.

Odinstaluj Java 7 Update 21 i zainstaluj Java 7 Update 67


(Bet2012) #9

Ok, już aktualizuje. Jeszcze jakieś zabezpieczenia, aby ten syf nie wrócił? 

Dzięki wielkie za poświęcony czas i za pomoc.