Wirus Policja, nie pomaga ComboFix

[anubis]

Mam Windows XP Prof. SP3. Wirus wyświetla spreparowaną stronę w 3 przeglądarkach : IE 8, Chrome i Mozilla Firefox.

Próbowałem kilkukrotnie skanowania w trybie Awaryjnym ComboFIX, CCleaner, szukalem wpisów z Winlogon z rejestrze ale po restarcie jest dalej problem.

Wklejam logi poniżej, proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Proszę dostosuj się do zasad działu i dołącz obowiązkowe logi z FRST i GMER.

[anubis]

Załączam dodatkowe logi z programu FRST, niestety nie udało mi się wykonać skanowania za pomocą aktualnej aplikacji GMER ściągniętej z strony autora.

Aplikacja w trybie awaryjnym jak i awaryjnym z paskiem poleceń zawieszała się w trakcie skanowania. Użyłem programu Defogger do wyłączenia wirtualnych dysków przed skanowaniem GMER, ale sytuacja jest identyczna (dysk pracuje następnie przestaje reagować, "mrugać")

Będę wdzięczny za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Jest tu infekcja routera. Pierwszy adres IP jest szkodliwy: KLIK.

 

Tcpip\Parameters: [DhcpNameServer] 94.249.207.93 8.8.8.8

 

1. Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK.

 

2. Po wszystkim zresetuj Windows i zrób nowy log FRST (bez Addition i Shortcut). I przejdę do dalszych czynności czyszczących inne rzeczy.

 

 

 

.

[anubis]

Zabezpieczyłem  router i wykonalem skanowanie FRST, załączam log.

FRST.txt

[picasso]

Router pomyślnie zresetowany. Teraz możemy przejść do innych poprawek:

 

1. Przez Panel sterowania odinstaluj zbędnik McAfee Security Scan Plus i starsze wersje Adobe Flash Player 12 ActiveX, Adobe Flash Player 14 Plugin, Adobe Reader XI (11.0.08), Java 7 Update 55 (do zastąpienia najnowszymi). Od razu też zaktualizuj FileZilla, Firefox i Google Chrome. O aktualizacjach w tym topiku: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/
SearchScopes: HKLM - Backup.Old.DefaultScope {BE7DCA20-F1FE-4C5F-83DE-0B15891DB5BD}
SearchScopes: HKLM - {BE7DCA20-F1FE-4C5F-83DE-0B15891DB5BD} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtDyEyByC0AyEzztDzytCyB0BzyyCtN0D0Tzu0CtByEtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=292714344
SearchScopes: HKCU - {1C7E91BD-4F6C-4095-B0FB-A49695869EF4} URL =
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\LocalService\Dane aplikacji\QuickScan
C:\Documents and Settings\stary profil roman\Dane aplikacji\SmartPCFix
C:\Program Files\Mozilla Firefox\extensions
c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

.

[anubis]

Wykonałem wszystko i załączam LOG z FRST.

Dziękuję

FRST.txt

[picasso]

Brakuje pliku fixlog.txt powstałego podczas uruchamiania skryptu. Dostarcz. Nie powtarzaj przypadkiem tego skryptu, masz podać log już utworzony na dysku.

[anubis]

Przepraszam, wrzucam właściwy plik.

Fixlog.txt

[picasso]

Dlaczego Fix był uruchamiany w Trybie awaryjnym? Czy były jakieś przeszkody? I uruchomiłeś go dwa razy, skrypt jest jednorazowego użytku i nie wolno go powtarzać, stąd też w drugim podejściu FRST nic nie wykonał (nie znalazł wpisów uprzednio usuniętych). Poproszę o log z pierwszego podejścia. Wyciągnij jego kopię z folderu C:\FRST\Logs, chodzi o najstarszy plik o nazwie Fixlog_data_czas.txt.

[anubis]

Prawdopodobnie jest to log który załączam. Jestem przyzwyczajony że wszelkie infekcje najlepiej usuwać w trybie awaryjnym z tąd ponowne wykonanie skryptu, dodatkowo z komputerem mam kontakt za pomocą TeamViewer ( komputer znajduje się u rodziny 156 km dalej ).

Jak na razie wszystko wygląda normalnie, problem się nie pojawił.

Fixlog_22-10-2014_20-12-32.txt

[picasso]

Jestem przyzwyczajony że wszelkie infekcje najlepiej usuwać w trybie awaryjnym z tąd ponowne wykonanie skryptu, dodatkowo z komputerem mam kontakt za pomocą TeamViewer ( komputer znajduje się u rodziny 156 km dalej ).

Jeśli nie podaję, by przetwarzać w Trybie awaryjnym, to oznacza że nie jest to wymagane, a nawet może to przeszkodzić naprawie. Pomijając, że skrypt można uruchomić tylko raz i pierwsze podejście już wszystko załatwiło, jest tu dobry przykład w Twoich logach na niemożność wykonania określonej naprawy z poziomu Trybu awaryjnego. Pierwszy Fix zrobiony z poziomu Trybu normalnego pomyślnie przetworzył polecenie ipconfig /flushdns, ale to samo w Trybie awaryjnym już nie było zdolne się wykonać (w podstawowym Trybie awaryjnym nie działają usługi sieciowe):

 

========= ipconfig /flushdns =========
 

Konfiguracja IP systemu Windows
 

Wystąpił błąd wewnętrzny: żądanie nie jest obsługiwane.

 

Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[anubis]

Bardzo dziękuję, wszystko działa jak należy.