Zainfekowanie trojanem i niedziałające google


(Robert Jonczyk) #1

Cześć,

 

mam problem z trojanem, nie otwierają mi się google (ale tylko .pl, np. .de już wchodzi).

Wyskakuje mi przy tym powiadomienie genenrowane przez ESET AV: JS/TrojanDownloader.FakeAlert.NAK koń trojański.

Sam ESET nic nie wykrywa przy skanie, poza tym blokuje mi facebooka i youtube, gazeta.pl.

 

Zrobiłem skan OTL i załączam logi, dzięki z góry za pomoc!

 

Extras: http://www.wklej.org/id/1368701/

 

OTL: http://wklej.to/MeOom


(Atis) #2

Masz ustawione takie serwery DNS:

http://whois.domaintools.com/37.59.8.25

http://whois.domaintools.com/178.33.118.171

Prawdopodobnie zainfekowany jest router.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.Addition.


(Robert Jonczyk) #3

Ok, zeskanowałem FRST, podaję linki:

 

FRST: http://www.wklej.org/id/1368822/

Addition: http://www.wklej.org/id/1368825/

 

 

Czy jeśli zainfekowany jest router, to wystarczy go zrestartować?


(Atis) #4

Zresetuj i zabezpiecz porządnym hasłem oraz zablokuj zdalny dostęp do panelu administracyjnego.

Podstawy zabezpieczenia routerów: KLIK

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = 
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - {A8A785D4-8FF3-4E24-BA66-2E378A294070} URL = 
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
C:\Windows\system32\Drivers\etc\hosts.ics
C:\ProgramData\STOPzilla!
C:\ProgramData\Spybot - Search & Destroy
C:\Windows\System32\Tasks\Safer-Networking
C:\ProgramData\F-Secure
Task: {00E45373-2F34-45E2-B65C-36D4D84BBDAC} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe
Task: {0DCDF6AB-AEE8-4BDA-A0AC-E14EECD5A9EB} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe
Task: {3C54EC0B-D54E-4D10-B07D-269376AB3A97} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
Task: {516FC600-0118-401B-9C01-C195A437072C} - System32\Tasks\{72D49B29-41B5-478D-B45F-45DB6B9A818C} => Firefox.exe http://ui.skype.com/ui/0/6.9.0.106/pl/abandoninstall?page=tsMain
Task: {6B030D29-D712-4124-86F4-A7BB6E77F696} - System32\Tasks\Gkoicrwyh => Rundll32.exe "C:\Windows\SysWOW64\w32topl8.dll",Sdoythk
Task: {B85FD6F2-FE5D-47D2-B5CB-B1B1FBB733DE} - System32\Tasks\ROC_JAN2013_TB_Admin => C:\Program Files (x86)\AVG Secure Search\ROC_JAN2013_TB.exe
Task: {BF237373-C867-41D9-A6FB-C258B7A52DDB} - System32\Tasks\{34C728BA-4603-446C-A009-5B5C5CA5A5A5} => C:\Users\Admin\Desktop\OTL.exe [2014-05-21] (OldTimer Tools)
Task: C:\Windows\Tasks\Gkoicrwyh.job => C:\Windows\SysWOW64\w32topl8.dll
Task: C:\Windows\Tasks\ROC_JAN2013_TB_Admin.job => C:\Program Files (x86)\AVG Secure Search\ROC_JAN2013_TB.exe
Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe
C:\Windows\SysWOW64\w32topl8.dll

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Robert Jonczyk) #5

Hej, router skonfigurowany na nowo, wszystko z Twoim opisem.

 

Raport Fixlog: http://www.wklej.org/id/1369490/

 

i scan FRST: http://www.wklej.org/id/1369492/

 

 

Strony otwierają się już normalnie :slight_smile:


(Atis) #6

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Odinstaluj Java 7 Update 51.


(Robert Jonczyk) #7

Ok, zrobione :slight_smile:


(B Grzejda) #8

Witam, mam ten sam problem. Próbowałem walczyć sam jednak poległem… Router po resecie, wczesniej posiadał takie same dnsy jak w temacie. W moim przypadku sytuacja wygląda troche inaczej gdyż mój router działa jako AP. W sieci jest jeszcze jeden router który wysyła sygnał do drugiego mieszkania.

 

OTL: http://wklej.org/hash/1d0453aadfc/

Extras: http://wklej.org/hash/bfc5f9a462c/

 

FRST: http://wklej.org/hash/9a78413c7b1/

Adition: http://wklej.org/hash/fe558a9745f/

 

Z góry dzięki za pomoc :slight_smile:


(Atis) #9

Zainfekowany jest router i nie pomogą żadne logi.

Poza tym:

http://forum.dobreprogramy.pl/nie-podpinamy-się-pod-tematy-innych-użytkowników-t379459/