iwanike
(iwa nike)
3 Luty 2015 21:01
#1
Witam. Od kilku dni mam problem, co chwilę uruchamia mi się strona adultcameras.info, zainfekowało mi komputer stacjonarny jak i laptopa.
Dodam że mam w domu dwie niezależne sieci, tepsę i radiówkę, okienka wyświetlają się niezależnie z której korzystam.
Chwilowo radzę sobie półśrodkami, tzn mam zainstalowaną wtyczkę blocksite do Chrome, ale chciałbym zrobić z tym porządek.
Jak sobie z tym poradzić?
Atis
(Atis)
3 Luty 2015 21:08
#2
Prawdopodobnie zainfekowany jest router.
Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:
KLIK - KLIK - KLIK - KLIK
Nowy log obowiązkowy - Farbar Recovery Scan Tool
iwanike
(iwa nike)
3 Luty 2015 21:26
#3
Zrobiłem twardy reset tepsy i tej radiówki, dostępy zdalne miałem już zablokowane wcześniej, dns ustawiłem na 8.8.8.8, dla pewności zmieniłem hasło na trudniejsze i dalej to samo…
Podrzucam logi z blaszaka http://wklej.to/xaTGp http://wklej.to/SkmC9
Atis
(Atis)
3 Luty 2015 21:34
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3115087221-1586590654-1787618982-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S3 cpuz137; \??\C:\Users\iwa\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X]
S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-02-03 20:47 - 2014-12-15 18:55 - 00000000 ____ D () C:\Temp
Task: {7E41733D-665F-4C84-B419-9641FD1A6D62} - \Origin No Task File <==== ATTENTION
Task: {624C667A-BA58-40DD-B89A-1DE9FB6E908B} - System32\Tasks\{A088E390-C3C5-4641-B3E2-BB16CEE8C504} => C:\Users\iwa\Downloads\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19.exe [2008-06-03] ()
Task: {B7AE0179-E309-4340-A0F4-C411A2A46735} - System32\Tasks\{12E2E518-6A99-4CC6-BD6C-9005F1EC116E} => C:\Users\iwa\Downloads\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19.exe [2008-06-03] ()
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
iwanike
(iwa nike)
4 Luty 2015 17:03
#5
http://wklej.to/4k1wV - fixlog
http://wklej.to/0AQgz -FRST
Wrzucam też od razu logi z laptopa, zainfekowany w ten sam sposób
http://wklej.to/nUZKN
http://wklej.to/yMERh
Atis
(Atis)
4 Luty 2015 21:11
#6
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Oinstaluj Adobe Reader 9.5.0 i zainstaluj Adobe Reader XI 11.0.10
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X]
S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X]
2015-02-04 00:36 - 2014-09-29 06:57 - 00000000 ____ D () C:\AdwCleaner
2015-02-04 00:37 - 2014-09-07 23:18 - 00000000 ____ D () C:\ProgramData\boost_interprocess
2014-08-20 19:49 - 2014-08-20 19:49 - 0000037 ___SH () C:\Users\IWA\AppData\Local\70149b02515b3bb20dd492.47983420
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
iwanike
(iwa nike)
4 Luty 2015 22:36
#7
O co chodzi z tym językiem? Mam PL
http://wklej.to/ByBZ9 fix
http://wklej.to/QzsSz frst
Atis
(Atis)
4 Luty 2015 22:45
#8
Skasuj folder C:\FTST
Odinstaluj:
Java 8 Update 25
Java SE Development Kit 8 Update 25
Zainstaluj Java 8 Update 31
iwanike
(iwa nike)
5 Luty 2015 17:50
#9
Bardzo dziękuję za pomoc
Jak się dziś okazało, trzeci komputer w domu też padł ofiarą tego wirusa… Proszę jeszcze raz o pomoc
http://wklej.to/SDuEk
http://wklej.to/CdWNS
Atis
(Atis)
5 Luty 2015 17:58
#10
Zainfekowany jest router: http://whois.domaintools.com/91.212.124.159
Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:
KLIK - KLIK - KLIK - KLIK
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Winlogon\Notify\WgaLogon: WgaLogon.dll [X]
BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG2015\avgrsx.exe /sync /restart
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
URLSearchHook: [S-1-5-21-1644491937-1284227242-839522115-1004] ATTENTION ==> Default URLSearchHook is missing.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1644491937-1284227242-839522115-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1422786096&from=cor&uid=WDCXWD1200JD-00FYB0_WD-WMAEK1970872
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422786096&from=cor&uid=WDCXWD1200JD-00FYB0_WD-WMAEK1970872"
S4 IntelIde; No ImagePath
CMD: ipconfig /flushdns
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.