TMH Redirector wirus - POMOCY

klepa_bz · 20 Styczeń 2015 10:42

Przez ostatni tydzień mam problem z tym wirusem i nie moge sobie w żaden sposób poradzić używałem juz wszystkiego i problem dalej występuje, gdy włącze nową karte obojętnie przy jakiejś stronie odrazu przekierowywuje mnie do nowej karty tego wirusa… Pomocy!

Logi:

FRST: http://wklej.org/id/1601711/

Addition: http://wklej.org/id/1601698/

Atis · 20 Styczeń 2015 10:57

Masz zainfekowany router: http://whois.domaintools.com/91.212.124.159

Ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabrycze ustawienia routera.

Zabezpiecz router porządnym hasłem i zablokuj zdalny dostęp do panelu administracyjnego:

KLIK - KLIK - KLIK

Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator

Wpisz i zatwierdź enterem: ipconfig /flushdns

Sprawdź czy szkodliwego adresu DNS nie ma w właściwościach połączenia sieciowego.

http://windows.microsoft.com/pl-pl/windows/change-tcp-ip-settings#1TC=windows-7

Uruchom CCleaner i wyczyść pamięć podręczną przeglądarek oraz ciasteczka.

Odinstaluj Spybot - Search & Destroy.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3548238202-3989559474-2076612249-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S4 a2injectiondriver; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
R3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
Task: {3251ED43-D020-47B4-9672-0E524F12A986} - System32\Tasks\{B02940D9-AEDE-4ED9-9931-93CE511B643A} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Far Cry 4\GDFInstall.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Far Cry 4"
Task: {797CF16A-0199-43BC-B749-C909D8531766} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3548238202-3989559474-2076612249-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {B5B4AAEA-75D0-4C1C-BC3E-9DD077FFB9C4} - System32\Tasks\{9C65AFF5-FCE9-4ABB-8F09-6FACF361A9A6} => pcalua.exe -a F:\Setup.exe -d F:\
Task: {B665799F-8F7D-4CAB-B4F0-D885FFCF8984} - System32\Tasks\{794D22B9-6238-42E6-B0CE-366AF84C3518} => pcalua.exe -a "C:\Users\admin\Downloads\Cool-Edit-Pro-2.1-with-Crack\Cool Edit Pro 2.1 with Crack\Crack\cep2reg.exe" -d "C:\Users\admin\Downloads\Cool-Edit-Pro-2.1-with-Crack\Cool Edit Pro 2.1 with Crack\Crack"
Task: {E59F129B-B058-4610-BE3D-CF51A88E084B} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3548238202-3989559474-2076612249-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {E7C8C1C5-8320-40B3-825C-64D1887EC9E4} - System32\Tasks\{F9C8BC8D-DE5C-41BB-97ED-5362048BF187} => pcalua.exe -a "G:\Cool_Edit_Pro_2.0\Cool Edit Pro 2.0\crack\CoolEditPro2 registration.exe" -d "G:\Cool_Edit_Pro_2.0\Cool Edit Pro 2.0\crack"
Task: {F541140C-5028-42AC-A786-995030591FFF} - System32\Tasks\{F7F7F054-62C5-4ADA-978E-0EC01DBFAF18} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files\Cool Edit Pro 2.1\coolpro2.exe"
Task: {F88FEF31-DA4E-4850-98A6-5BD68C346A0E} - System32\Tasks\{306A342C-D333-4940-A5C0-D5B053F061F3} => pcalua.exe -a "C:\Users\admin\Downloads\Cool-Edit-Pro-2.1-with-Crack\Cool Edit Pro 2.1 with Crack\cepsetup.exe" -d "C:\Users\admin\Downloads\Cool-Edit-Pro-2.1-with-Crack\Cool Edit Pro 2.1 with Crack"
CMD: C:\Users\admin\Downloads\ComboFix.exe /uninstall

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

klepa_bz · 20 Styczeń 2015 12:31

Okej hasło na router zmieniłem teraz jest chroniony.

arapo · 20 Styczeń 2015 12:37

@klepa_bz - jak otworzyć notatnik>klikając przycisk Start

klepa_bz · 20 Styczeń 2015 12:40

Atis · 20 Styczeń 2015 16:57

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Qoobox
DeleteQuarantine:
EmptyTemp:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Odinstaluj:

Adobe Reader XI (11.0.04)

Adobe Shockwave Player 12.1

Java 7 Update 71

Zainstaluj:

Adobe Reader XI 11.0.10

Java 8 Update 25

klepa_bz · 20 Styczeń 2015 18:38

Myśle że wszystko się udało już nie włącza się żadna nowa karta Dzięki wielkie za pomoc jesteście WIELCY!!