Miskov87
(Miskov87)
29 Styczeń 2015 20:51
#1
Witam,
W ciągu ostatnich dni przyplątało mi się na Windows 7 trochę śmieci. Po paru godzinach walki, męczenia systemu różnymi programami wydaje mi się, że udało mi się poradzić z problemem.
Chciałbym jednakże prosić o przeanalizowanie logów w celu sprawdzenia czy wszystkie chwasty zostały wyplewione.
FRST: http://www.wklej.org/id/1615569/
Addition: http://www.wklej.org/id/1615571/
Dziękuję z góry.
Pozdrawiam,
Michał
Atis
(Atis)
29 Styczeń 2015 21:16
#2
Masz zainfekowany router: http://whois.domaintools.com/91.212.124.159
Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:
KLIK - KLIK - KLIK - KLIK
Odinstaluj Spybot - Search & Destroy 2.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 AMD FUEL Service; No ImagePath
S2 mi-raysat_3dsmax9_32; No ImagePath
S2 AODDriver4.1; No ImagePath
U3 DfSdkS; No ImagePath
2015-01-29 21:01 - 2015-01-29 21:03 - 00000000 ____ D () C:\Users\Misiek\AppData\Roaming\omiga-plus
CustomCLSID: HKU\S-1-5-21-1069243675-5822644-1506539173-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path
Task: {013067CB-8C7D-48F8-9495-5841B260A958} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe
Task: {9FB83920-A8C2-4286-9286-EAD976A41A6D} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe
Task: {ED1A02E9-8AFC-4BDF-9A6A-EDC6DF437711} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
CMD: ipconfig /flushdns
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Miskov87
(Miskov87)
29 Styczeń 2015 22:04
#3
Fixlog: http://www.wklej.org/id/1615682/
Nowy FRST http://www.wklej.org/id/1615685/
Dodatkowo usunąłem Spybot - Search & Destroy 2 (BTW - co jest z nim nie tak?)
I najważniejsze, zresetowałem router, zablokowałem zdalny dostęp do panelu, zmieniłem hasło i jak tylko znajdę dobre DNS dla Netii to też je zmienię - dziękuję Ci za tą poradę!
Atis
(Atis)
29 Styczeń 2015 22:39
#4
http://blog.netia.pl/netia/entry/kolejny-atak-na-routery-tym-razem-pod-przykrywka-aktualizacji-popularnego-programu
Spybot to jest przestarzały i nieskuteczny program.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
BootExecute: autocheck autochk * sdnclean64.exe
2015-01-28 22:02 - 2015-01-29 22:57 - 00000000 ____ D () C:\Program Files (x86)\Spybot - Search & Destroy 2
2015-01-28 22:02 - 2015-01-29 21:00 - 00000000 ____ D () C:\ProgramData\Spybot - Search & Destroy
2015-01-28 22:02 - 2015-01-28 22:02 - 00000000 ____ D () C:\Windows\System32\Tasks\Safer-Networking
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK
Miskov87
(Miskov87)
30 Styczeń 2015 17:27
#5
Wszystkie porady zastosowane, temat do zamknięcia. Pozdrawiam!