Wirus, prawdopodobnie z zainfekowanego starego TP Linka

tukidydes · 24 Lipiec 2015 16:15

Witam, Kilka dni temu wyzionął ducha domowy Livebox, w związku z czym przez kilka dni musiałem korzystać ze starego TP Linka. Niestety wyciągnięty po paru latach router momentalnie złapał z sieci jakiś syf, który zaczął wywalać reklamy adcash, spowalniał bądź całkowicie blokował dostęp do takich stron jak facebook czy youtube (w tym wypadku wyskakiwała informacja o konieczności zainstalowania aktualnej wersji flash playera), a próby zmiany DNS- ów w panelu administracyjnym routera kończyły się niemal natychmiastowym powrotem do jakichś dziwnych niemieckich IP.

Atis · 24 Lipiec 2015 16:30

Ja podejrzewam, że nie przeczytałeś regulaminu tego działu:

http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowiązkowy-t478727/

tukidydes · 24 Lipiec 2015 17:33

Fakt, sugerowałem się tylko jednym z wcześniejszych postów. Mea culpa, już naprawiam swój błąd.

Atis · 24 Lipiec 2015 19:09

Masz zainfekowany router: http://whois.domaintools.com/188.138.70.126

Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:

KLIK - KLIK - KLIK - KLIK

Odinstaluj Spybot - Search & Destroy.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-53990144-3316668210-524488449-1001\...\Run: [Spybot-S&D Cleaning] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe [4566952 2014-06-24] (Safer-Networking Ltd.)
BootExecute: autocheck autochk * sdnclean64.exe
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
2015-07-24 14:22 - 2015-07-24 15:19 - 00000000 ____ D C:\ProgramData\Spybot - Search & Destroy
2015-07-24 14:22 - 2015-07-24 14:32 - 00000000 ____ D C:\Program Files (x86)\Spybot - Search & Destroy 2
2015-07-24 14:22 - 2015-07-24 14:22 - 00001399 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
2015-07-24 14:22 - 2015-07-24 14:22 - 00001387 _____ C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
2015-07-24 14:22 - 2015-07-24 14:22 - 00000000 ____ D C:\WINDOWS\System32\Tasks\Safer-Networking
2015-07-24 14:22 - 2015-07-24 14:22 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
2015-07-24 14:22 - 2013-09-20 10:49 - 00021040 _____ (Safer Networking Limited) C:\WINDOWS\system32\sdnclean64.exe
2015-07-24 16:35 - 2015-07-24 16:35 - 05633622 _____ (Swearware) C:\Users\BIG COMPUTER\Downloads\ComboFix.exe
2015-07-24 14:14 - 2015-07-24 14:16 - 46525608 _____ (Safer-Networking Ltd. ) C:\Users\BIG COMPUTER\Downloads\spybot-2.4.exe
2015-07-23 00:15 - 2015-07-24 14:17 - 00000000 ____ D C:\AdwCleaner
2014-03-29 17:14 - 2014-04-23 19:42 - 0034816 _____ () C:\Users\BIG COMPUTER\AppData\Roaming\RZR_0060d35940a9a2c75dfa53c60825.db
Task: {20711709-59CF-498C-AC27-1CC6018D8383} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2014-06-27] (Safer-Networking Ltd.)
Task: {8FC510C7-8E65-4A80-A695-068E4CEF26C7} - System32\Tasks\{287A15C5-D23F-4F60-9945-D789A5FFE33A} => Chrome.exe http://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsPlugin
Task: {B1F42BE3-D85F-4E0D-85FC-8AF9EDF1CD22} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2014-06-24] (Safer-Networking Ltd.)
Task: {ED326AD2-7916-4B85-ACC0-A426F4DA5E0C} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2014-06-24] (Safer-Networking Ltd.)
Hosts:
CMD: ipconfig /flushdns
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.