Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Dns unlocker - usunieciu wirusa

krzemmm 30 Sie 2015 09:13 762 7
  • #1 30 Sie 2015 09:13
    krzemmm
    Poziom 2  

    Witam, po pożyczeniu laptopa, okazało się, że mam na laptopie wirusy. Wyświetlił mi się DNS unlocker oraz Nginx. Wstawiam logi z FRST.

    PS. To mój pierwszy post tutaj, więc pozdrawiam wszystkich.

    0 7
  • #2 30 Sie 2015 09:26
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CustomCLSID: HKU\S-1-5-21-1258307914-1950828644-3003982699-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\krzemmm\AppData\Local\Temp\1F0\temp\957841611389262440b.exe ()
    Task: {168A7E4F-5A83-4DE1-B539-52AAAC9A45B0} - System32\Tasks\MonsterMusic => c:\programdata\{b27a3aae-51a4-660b-b27a-a3aae51aeab9}\1886850622779868182b.exe <==== UWAGA
    Task: {633A5871-F710-4FFE-9E60-BBEA0C0B63A7} - System32\Tasks\DNSNEWVILLE => dnsnewville.exe
    Task: {BFAE175C-1D12-46E8-AD8C-C107D671E403} - System32\Tasks\ViewCounter => c:\programdata\{533c09d8-d5ce-9ad9-533c-c09d8d5c2763}\maskot v4.5 mp3.rar.exe <==== UWAGA
    Task: {CF32A46A-0FC1-4986-920E-B2D97C2D22CA} - System32\Tasks\ScienceCrew => c:\programdata\{b5f3e93b-7a47-284e-b5f3-3e93b7a4a4ed}\7482404929995746222b.exe <==== UWAGA
    Task: {DF031955-E157-46B7-9CBE-49CEEF56B8F8} - System32\Tasks\TimerRunner => c:\programdata\{d64357ad-68a5-0f78-d643-357ad68a5eb5}\957841611389262440b.exe <==== UWAGA
    Task: C:\Windows\Tasks\MonsterMusic.job => c:\programdata\{b27a3aae-51a4-660b-b27a-a3aae51aeab9}\1886850622779868182b.exe <==== UWAGA
    Task: C:\Windows\Tasks\ScienceCrew.job => c:\programdata\{b5f3e93b-7a47-284e-b5f3-3e93b7a4a4ed}\7482404929995746222b.exe <==== UWAGA
    Task: C:\Windows\Tasks\TimerRunner.job => c:\programdata\{d64357ad-68a5-0f78-d643-357ad68a5eb5}\957841611389262440b.exe <==== UWAGA
    Task: C:\Windows\Tasks\ViewCounter.job => c:\programdata\{533c09d8-d5ce-9ad9-533c-c09d8d5c2763}\maskot v4.5 mp3.rar.exe <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Zasada ograniczeń <======= UWAGA
    S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
    S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
    S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
    R1 {d6a952e5-7b3c-4022-b41c-bf46977ae947}Gw; system32\drivers\{d6a952e5-7b3c-4022-b41c-bf46977ae947}Gw.sys [X]
    2015-08-30 08:56 - 2015-08-30 09:00 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Masz zainfekowany router, zacznij od wykonania:
    https://www.elektroda.pl/rtvforum/viewtopic.php?t=2874173

    0
  • #3 30 Sie 2015 20:39
    krzemmm
    Poziom 2  

    zrobilem tak jak bylo napisane w tym linku co podeslales. ale wirus dalej sie pokazuje.

    ps nie wiem czy to wazne ale ciagne internet z hotspota w telefonie a nie z routera.

    ps 2. przepraszam za bledy ale strasznie mi sie zacina ta strona i kilka innych przez tego wirusa

    0
  • #4 30 Sie 2015 21:35
    Kolobos
    Spec od komputerów

    Nie, nadal masz zainfekowany system.

    Nowy fixlist.txt dla FRST:
    () C:\Users\krzemmm\AppData\Roaming\Liberal Congregation\Liberal Congregation.exe
    Tcpip\..\Interfaces\{3EDE05FD-8E1A-4DCC-914D-06553F32CD20}: [NameServer] 82.163.143.169,82.163.142.171
    Tcpip\..\Interfaces\{6507FCBA-6251-4A0B-8A97-B02EECDC272E}: [NameServer] 82.163.143.169,199.203.131.145
    R2 Liberal Congregation; C:\Users\krzemmm\AppData\Roaming\Liberal Congregation\Liberal Congregation.exe [66048 2015-07-25] () [Brak podpisu cyfrowego]
    C:\Users\krzemmm\AppData\Roaming\Liberal Congregation\

    0
  • #6 31 Sie 2015 09:27
    Kolobos
    Spec od komputerów

    W logach nie widac juz infekcji.

    Uruchom okno cmd z prawami administratora i wpisz: ipconfig /flushdns

    Odinstaluj przegladarke, usun katalog profilu i zainstaluj ponownie.

    0
  • #7 31 Sie 2015 14:41
    krzemmm
    Poziom 2  

    zrobilem tak i niestety dalej sie pojawia. a jak usunac ten katalog profilu? bo nie mam pojecia.

    chyba zostaje tylko format, ale dzieki za probe pomocy

    0