Sprawdzenie logów po pozbyciu się adware'ow i search engine'a

Miskov87 · 29 Styczeń 2015 20:51

Witam,

W ciągu ostatnich dni przyplątało mi się na Windows 7 trochę śmieci. Po paru godzinach walki, męczenia systemu różnymi programami wydaje mi się, że udało mi się poradzić z problemem.

Chciałbym jednakże prosić o przeanalizowanie logów w celu sprawdzenia czy wszystkie chwasty zostały wyplewione.

FRST: http://www.wklej.org/id/1615569/

Addition: http://www.wklej.org/id/1615571/

Dziękuję z góry.

Pozdrawiam,

Michał

Atis · 29 Styczeń 2015 21:16

Masz zainfekowany router: http://whois.domaintools.com/91.212.124.159

Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:

KLIK - KLIK - KLIK - KLIK

Odinstaluj Spybot - Search & Destroy 2.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422561679&from=cor&uid=ST31000528AS_9VP3B1MDXXXX9VP3B1MD&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S2 AMD FUEL Service; No ImagePath
S2 mi-raysat_3dsmax9_32; No ImagePath
S2 AODDriver4.1; No ImagePath
U3 DfSdkS; No ImagePath
2015-01-29 21:01 - 2015-01-29 21:03 - 00000000 ____ D () C:\Users\Misiek\AppData\Roaming\omiga-plus
CustomCLSID: HKU\S-1-5-21-1069243675-5822644-1506539173-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path
Task: {013067CB-8C7D-48F8-9495-5841B260A958} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDImmunize.exe
Task: {9FB83920-A8C2-4286-9286-EAD976A41A6D} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDUpdate.exe
Task: {ED1A02E9-8AFC-4BDF-9A6A-EDC6DF437711} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search &amp; Destroy 2\SDScan.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
CMD: ipconfig /flushdns
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Miskov87 · 29 Styczeń 2015 22:04

Fixlog: http://www.wklej.org/id/1615682/

Nowy FRST http://www.wklej.org/id/1615685/

Dodatkowo usunąłem Spybot - Search & Destroy 2 (BTW - co jest z nim nie tak?)

I najważniejsze, zresetowałem router, zablokowałem zdalny dostęp do panelu, zmieniłem hasło i jak tylko znajdę dobre DNS dla Netii to też je zmienię - dziękuję Ci za tą poradę!

Atis · 29 Styczeń 2015 22:39

http://blog.netia.pl/netia/entry/kolejny-atak-na-routery-tym-razem-pod-przykrywka-aktualizacji-popularnego-programu

Spybot to jest przestarzały i nieskuteczny program.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

BootExecute: autocheck autochk * sdnclean64.exe
2015-01-28 22:02 - 2015-01-29 22:57 - 00000000 ____ D () C:\Program Files (x86)\Spybot - Search & Destroy 2
2015-01-28 22:02 - 2015-01-29 21:00 - 00000000 ____ D () C:\ProgramData\Spybot - Search & Destroy
2015-01-28 22:02 - 2015-01-28 22:02 - 00000000 ____ D () C:\Windows\System32\Tasks\Safer-Networking
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Miskov87 · 30 Styczeń 2015 17:27

Wszystkie porady zastosowane, temat do zamknięcia. Pozdrawiam!