camphero
(Bet2012)
25 Wrzesień 2014 16:48
#1
Witam.
Mam problem, otóż ostatnio włączyłem komputer po długiej nieobecności i po odpaleniu opery po ok. kilkudziesięciu sekundach włączyła mi się strona gdzie niby mam do zapłaty jakąś grzywnę. Od razu wiedziałem, że to wirus. Ale mam problemy z usunięciem tego - pobrałem program Malwarebytes Anti-Malware jednak on skutecznie blokuje ale nie usuwa tego wirusa ;/
Dodatkowo to samo wyskakuje mi w telefonie w przeglądarce (prawdopodobnie odwiedziłęm tę samą strone na komputerze a później na telefonie i wirus przeszedł) super jakby ktoś mógł pomóc jeszcze usunąć to z telefonu.
Tutaj screenshot jak wygląda ta blokada (link jest):
Skany OTL:
http://wklej.org/id/1472798/
Skany Farbar recovery scan tool:
FRST.txt:
http://www.wklej.org/id/1472788/
Skan Addition.txt:
http://www.wklej.org/id/1472784/
Atis
(Atis)
25 Wrzesień 2014 21:02
#2
camphero
(Bet2012)
26 Wrzesień 2014 08:15
#3
Zrobiłem tak jak w poście - zresetowałem ustawienie routera, zabezpieczyłem go, zmieniłem DNSy na statyczne w protokole v4 i wyczyściłem wszystko CC cleanerem i po chwili znowu malware zablokował takie coś:
Atis
(Atis)
26 Wrzesień 2014 09:22
#4
Odinstaluj Splashtop Connect for Firefox i Splashtop Connect IE.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [ZyngaGamesAgent] => "D:\Program Files\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe"
ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Startup: D:\Users\Way to Dream\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll No File
FF NetworkProxy: "no_proxies_on", "localhost, 127.0.0.1, autofillmagic.com"
FF HKLM\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - D:\Program Files\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}
FF HKLM\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - D:\Program Files\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}
FF HKLM\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - D:\Program Files\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66}
S2 WCUService_STC_FF; D:\Program Files\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [X]
S2 WCUService_STC_IE; D:\Program Files\Splashtop\Splashtop Connect IE Software Updater\WCUService.exe [X]
Task: {1D52B3CD-17D4-4B32-B26B-22B9E9D0C1CB} - System32\Tasks\{A89F1C08-C8AA-4CBA-9975-6611CCA240DB} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {4C50B5C4-365F-40D5-B043-3FE52EA4FAD2} - System32\Tasks\ROC_JAN2013_TB_rmv => D:\Program Files\AVG Secure Search\PostInstall\ROC.exe
Task: {56DCECE0-757C-40F0-927B-413670AF0DB5} - System32\Tasks\avast! Emergency Update => D:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: D:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => D:\Program Files\AVG Secure Search\PostInstall\ROC.exe
CMD: ipconfig /flushdns
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
camphero
(Bet2012)
26 Wrzesień 2014 11:47
#5
Zastosowałem się do Twojej instrukcji - Odinstalowałem te dwa programy. AdwCleanerem usunałem co się dało.
Przeniosłem program FRST na pulpit i tam utworzyłem plik fixlist.txt i uruchomiłem funkcje FIX w programie. Log poniżej:
http://wklej.org/id/1473270/
A tutaj log ze scana:
http://wklej.org/id/1473274/
I jak wygląda teraz sytuacja?
Atis
(Atis)
26 Wrzesień 2014 13:22
#6
Nadal masz zainfekowany router: http://whois.domaintools.com/5.175.225.147
Skasuj folder D:\FRST i D:\AdwCleaner
camphero
(Bet2012)
26 Wrzesień 2014 14:08
#7
Masz racje. Poprawiłem jeszcze raz ustawienie TP-Linka i chyba teraz już jest ok tcpip parameters:
http://wklej.org/id/1473357/
Atis
(Atis)
26 Wrzesień 2014 14:21
#8
Nie widać infekcji.
Odinstaluj Java 7 Update 21 i zainstaluj Java 7 Update 67
camphero
(Bet2012)
26 Wrzesień 2014 14:46
#9
Ok, już aktualizuje. Jeszcze jakieś zabezpieczenia, aby ten syf nie wrócił?
Dzięki wielkie za poświęcony czas i za pomoc.