Pop Up + podmieniane strony. Wirus na routerze

Dla specjalistów Bezpieczeństwo
#1

Witam! 

 

Mam następujący problem, mianowicie u znajomego na routerze zagnieździł się wirus, który podmienia strony internetowe na porno bądź stronę kolekcjoner.nl, a także pokazuje reklamy w prawym dolnym rogu na większości witryn. Zaatakował wszystkie urządzenia, które były wpięte w danej sieci, niestety sam nie potrafię go zlokalizować. DNS nie zostały podmienione, jednak dodał do rejestru klucz disableregistrytools. Prawdopodobnie razem z nim siedzi jakiś bootkit, gdyż po formatowaniu dysku twardego problemy na moim komputerze dalej występują, mimo, że nie korzystałem ponownie z tamtej sieci. Dodatkową przypadłością jest mocne ograniczenie pasma, gdyż internet 50mb w speedteście uzyskuje maksymalny wynik na poziomie 4mbps dl, jednak upload działa z pełnym transferem.

 

Proszę o poradę, jak usunąć zagrożenie z mojego komputera oraz z routera (tp-link, jednak nie pamiętam modelu).

 

Poniżej załączam skany z FRST oraz OTL.

 

Pozdrawiam serdecznie!

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

#2

http://www.purepc.pl/sprzet_sieciowy/sprawdz_czy_adresy_dns_w_twoim_routerze_sa_bezpieczne

#3

W routerze nie są zmienione DNSy, problem musi leżeć w innym miejscu. W konfiguracji domowego routera nawet nie ma możliwości, aby je podmienić, jedynie na sztywno dla karty sieciowej w systemie.

#4

Jesteś pewien, że to wina routera ? Sprawdzałeś problem na innym urządzeniu sieciowym ?

#5

 

Tak, ponieważ problem występuje na 2 komputerach mac, 1 z windows 8.1, 2 telefonach z androidem oraz na iPhone. Reset routera nie pomaga.

 

Prędkości pobierania są ograniczone, prędkość wysyłania jest ok. Na telefonie prędkości są zgodne z tymi, które posiadam w umowie.

Po głębszej weryfikacji sprawdź też prędkość i zgłoś się do dostawcy.

 

 

System mam wgrany na partycję recovery, jest to Windows 8, zakupiony razem z laptopem.

 

 

Problem wystąpił pierwszy raz jakieś 3 tygodnie temu. Domowa sieć, z której korzystam jest bezpieczna. Wyskakują tylko pop-upy na komputerze,  telefon nie wyrzuca błędów o wirusie, które to pojawiają się po wpięciu w tamtą sieć. Inni domownicy nie mają tej przypadłości, więc nie rozprzestrzeniło się na sieci domowej. Format robiłem przedwczoraj, pełen, bez pozostawiania plików po starym systemie. 

#6

Pokaż kompletny log FRST.txt

Umieść na wklej.org

#7

 

Proszę bardzo :

 

http://wklej.org/id/1669348/

#8

Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [SDTray] = C:\Program Files (x86)\Spybot - Search Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
HKLM-x32\...\Run: [emsisoft anti-malware] = c:\program files (x86)\emsisoft anti-malware\a2guard.exe [4885584 2015-03-02] (Emsisoft GmbH)
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-3443218844-340556864-2787599014-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-3443218844-340556864-2787599014-1002\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
URLSearchHook: [S-1-5-21-3443218844-340556864-2787599014-1001] ATTENTION == Default URLSearchHook is missing.
SearchScopes: HKU\S-1-5-21-3443218844-340556864-2787599014-1002 - DefaultScope {F21CE995-21AD-40D8-80D0-5A91093658A3} URL =
SearchScopes: HKU\S-1-5-21-3443218844-340556864-2787599014-1002 - {F21CE995-21AD-40D8-80D0-5A91093658A3} URL =
CHR Extension: (Torrent Turbo Search App) - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\eegbffmjdkflkcfncpfjjbggbdlnbdif [2015-03-20]
CHR Extension: (Davitily Math Academy) - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdgkencbhniekejnjmlkpfmcambmikj [2015-03-20]
R2 SDScannerService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
2015-03-23 04:18 - 2015-03-23 04:30 - 00000000 ____ D () C:\ProgramData\Spybot - Search Destroy
2015-03-23 04:18 - 2015-03-23 04:18 - 00001414 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-SD Start Center.lnk
2015-03-23 04:18 - 2015-03-23 04:18 - 00001402 _____ () C:\Users\Public\Desktop\Spybot-SD Start Center.lnk
2015-03-23 04:18 - 2015-03-23 04:18 - 00000000 ____ D () C:\WINDOWS\System32\Tasks\Safer-Networking
2015-03-23 04:18 - 2015-03-23 04:18 - 00000000 ____ D () C:\WINDOWS\pss
2015-03-23 04:18 - 2015-03-23 04:18 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search Destroy 2
2015-03-23 04:18 - 2013-09-20 10:49 - 00021040 _____ (Safer Networking Limited) C:\WINDOWS\system32\sdnclean64.exe
2015-03-23 04:17 - 2015-03-23 04:35 - 00000000 ____ D () C:\Program Files (x86)\Spybot - Search Destroy 2
2015-03-23 04:08 - 2015-03-23 04:15 - 46525608 _____ (Safer-Networking Ltd. ) C:\Users\Kamil\Downloads\spybot-2.4.exe
2015-03-20 20:36 - 2015-03-20 20:57 - 00000000 ____ D () C:\Qoobox
2015-03-20 20:36 - 2011-06-26 07:45 - 00256000 _____ () C:\WINDOWS\PEV.exe
2015-03-20 20:36 - 2010-11-07 18:20 - 00208896 _____ () C:\WINDOWS\MBR.exe
2015-03-20 20:36 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2015-03-20 20:36 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2015-03-20 20:36 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2015-03-20 20:36 - 2000-08-31 01:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2015-03-20 20:36 - 2000-08-31 01:00 - 00098816 _____ () C:\WINDOWS\sed.exe
2015-03-20 20:36 - 2000-08-31 01:00 - 00080412 _____ () C:\WINDOWS\grep.exe
2015-03-20 20:36 - 2000-08-31 01:00 - 00068096 _____ () C:\WINDOWS\zip.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#9

Dokładnie tak samo. Podane kroki przyniosły poprawę na jakąś godzinę. Teraz znów wyskakują mi w/w okienka, bannery reklamowe itp po rosyjsku. Przekierowanie prowadzi na teasermedia.ru i problem pojawia się nawet w trybie awaryjnym. Tak, jak mówiłem, zaatakowane urządzenia reagują tak samo bez względu na os. Jakieś pomysły, gdzie można szukać pomocy?

#10

Biorąc pod uwagę dość ostro napiętą sytuację na wschodzie… Ta rosyjska domena nie wróży za dobrze - wiele urządzeń sieciowych posiada (dawno już odkryte i nie naprawiane przez producentów) luki w zabezpieczeniach i oprogramowaniu bazowym -> to z kolei nie wyklucza takiego globalnego cyberataku na naszą infrastrukturę internetową…

 

Napiszcie jakie macie te routery ? 

 

A może to pokłosie ostatniej afery z Lenovo i Superfish…

#11

W domu bezpieczny Tompson TWG 780, u kumpla zawirusowany Intellinet Wireless N ADSL 2+ 4-Port Modem Router. Podmiana DNS też nie daje zadowalających rezultatów.

#12

Problem dotyczy różnych urządzeń, więc masz zainfekowany router.

Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:

KLIK - KLIK - KLIK - KLIK

#13

Atis, wiem, że to jest przyczyną. Czekam jednak na speca z Netii, bo nie chcą podać loginu i hasła do routera przez telefon… Albo konsultant na którego trafiłem jest zbyt ambitny, albo niekompetentny. W związku z tym sam nie zdziałam zbyt wiele w tej kwestii. Standardowe hasło i login nie działają, więc sam mimo szczerych chęci nie mogę tego zrobić. Jednak dzięki wszystkim za pomoc, pozdrawiam!