Samoczynnie otwierająca się strona adultcameras.info


(iwa nike) #1

Witam. Od kilku dni mam problem, co chwilę uruchamia mi się strona adultcameras.info, zainfekowało mi komputer stacjonarny jak i laptopa.

Dodam że mam w domu dwie niezależne sieci, tepsę i radiówkę, okienka wyświetlają się niezależnie z której korzystam.

Chwilowo radzę sobie półśrodkami, tzn mam zainstalowaną wtyczkę blocksite do Chrome, ale chciałbym zrobić z tym porządek.  

Jak sobie z tym poradzić?


(Atis) #2

Prawdopodobnie zainfekowany jest router.

Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:

KLIK - KLIK - KLIK - KLIK

Nowy log obowiązkowy - Farbar Recovery Scan Tool


(iwa nike) #3

Zrobiłem twardy reset tepsy i tej radiówki, dostępy zdalne miałem już zablokowane wcześniej, dns ustawiłem na 8.8.8.8, dla pewności zmieniłem hasło na trudniejsze i dalej to samo.. 

Podrzucam logi z blaszaka http://wklej.to/xaTGp http://wklej.to/SkmC9


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3115087221-1586590654-1787618982-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S3 cpuz137; \??\C:\Users\iwa\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X]
S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-02-03 20:47 - 2014-12-15 18:55 - 00000000 ____ D () C:\Temp
Task: {7E41733D-665F-4C84-B419-9641FD1A6D62} - \Origin No Task File <==== ATTENTION
Task: {624C667A-BA58-40DD-B89A-1DE9FB6E908B} - System32\Tasks\{A088E390-C3C5-4641-B3E2-BB16CEE8C504} => C:\Users\iwa\Downloads\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19.exe [2008-06-03] ()
Task: {B7AE0179-E309-4340-A0F4-C411A2A46735} - System32\Tasks\{12E2E518-6A99-4CC6-BD6C-9005F1EC116E} => C:\Users\iwa\Downloads\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19_crack\ODM_Unlock_v1.19.exe [2008-06-03] ()
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(iwa nike) #5

http://wklej.to/4k1wV - fixlog

 

http://wklej.to/0AQgz -FRST 

 

 

Wrzucam też od razu logi z laptopa, zainfekowany w ten sam sposób

http://wklej.to/nUZKN

http://wklej.to/yMERh


(Atis) #6

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish

Oinstaluj Adobe Reader 9.5.0 i zainstaluj Adobe Reader XI 11.0.10

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X]
S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X]
2015-02-04 00:36 - 2014-09-29 06:57 - 00000000 ____ D () C:\AdwCleaner
2015-02-04 00:37 - 2014-09-07 23:18 - 00000000 ____ D () C:\ProgramData\boost_interprocess
2014-08-20 19:49 - 2014-08-20 19:49 - 0000037 ___SH () C:\Users\IWA\AppData\Local\70149b02515b3bb20dd492.47983420
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(iwa nike) #7

O co chodzi z tym językiem? Mam PL :slight_smile:

 

http://wklej.to/ByBZ9 fix

 

http://wklej.to/QzsSz frst


(Atis) #8

Skasuj folder C:\FTST

Odinstaluj:

Java 8 Update 25

Java SE Development Kit 8 Update 25

Zainstaluj Java 8 Update 31


(iwa nike) #9

Bardzo dziękuję za pomoc :slight_smile:

Jak się dziś okazało, trzeci komputer w domu też padł ofiarą tego wirusa.. Proszę jeszcze raz o pomoc

 

http://wklej.to/SDuEk

http://wklej.to/CdWNS


(Atis) #10

Zainfekowany jest router: http://whois.domaintools.com/91.212.124.159

Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:

KLIK - KLIK - KLIK - KLIK

 

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Winlogon\Notify\WgaLogon: WgaLogon.dll [X]
BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG2015\avgrsx.exe /sync /restart
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
URLSearchHook: [S-1-5-21-1644491937-1284227242-839522115-1004] ATTENTION ==> Default URLSearchHook is missing.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1644491937-1284227242-839522115-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1422786096&from=cor&uid=WDCXWD1200JD-00FYB0_WD-WMAEK1970872
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422786096&from=cor&uid=WDCXWD1200JD-00FYB0_WD-WMAEK1970872"
S4 IntelIde; No ImagePath
CMD: ipconfig /flushdns
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.