imusewindows Opublikowano 4 Października 2013 Zgłoś Udostępnij Opublikowano 4 Października 2013 Dzień dobry, forum na którym się uczęszczałem zostało zainfekowane. Mam obawy czy mój komputer nie został zainfekowany Poza tym większość linków z twittera otwiera się poprzez linkbucks mimo iż pierwotnie nie ma tych linków w tym systemie. Czy może to być powiązanie ? Załączam logi z OTL OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 5 Października 2013 Zgłoś Udostępnij Opublikowano 5 Października 2013 Nowe zasady działu, obowiązkowe są teraz także raporty z FRST. Brakuje również GMER. . Odnośnik do komentarza
imusewindows Opublikowano 5 Października 2013 Autor Zgłoś Udostępnij Opublikowano 5 Października 2013 Dodaję raport z FRST BTW przeczytałem gdzieś że może to być spowodowane atakiem na router więc zresetowałem go i jak na razie jest spokój FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 5 Października 2013 Zgłoś Udostępnij Opublikowano 5 Października 2013 BTW przeczytałem gdzieś że może to być spowodowane atakiem na router więc zresetowałem go i jak na razie jest spokój Na to wygląda, że była to infekcja na poziomie routera. Ta infekcja przekierowań już była na forum (KLIK) i w Twoim pierwszym raporcie OTL stały takie IP: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.113.218.132 8.8.8.8 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{164477E4-A16F-4776-A4EA-126B49B5AB24}: DhcpNameServer = 192.168.42.129 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{97B6F3FB-C7A4-4348-AE0E-EC19AEB4617F}: DhcpNameServer = 62.113.218.132 8.8.8.8 Ten 62.113.218.132 podejrzany, wg Whois jakiś niemiecki serwer. W dostarczonym tu nowym FRST nie widać już tych adresów. Po resecie routera należy także zmienić jego hasła dostępowe. Zrobiłeś to? Brak oznak infekcji po stronie systemu. Załaduj tylko mini poprawki. 1. Otwórz Notatnik i wklej w nim: URLSearchHook: (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File SearchScopes: HKCU - {7A84FABE-6EBF-43EB-A773-EFC4FD676E2B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File C:\Users\Admin\AppData\Roaming\ProgSense Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. Przy okazji: widzę w Tempach plik modelu ICReinstall_FLAC To MP3 Converter 4.0.4_isdmgr.exe (czyli downloader portalowy a nie instalator zasadniczy). Do wglądu: KLIK. . Odnośnik do komentarza
imusewindows Opublikowano 5 Października 2013 Autor Zgłoś Udostępnij Opublikowano 5 Października 2013 Dodaje fixlog Miałem zabezpieczony router i zmienione hasło dostępowe Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 5 Października 2013 Zgłoś Udostępnij Opublikowano 5 Października 2013 Ale ja pytam czy zmieniłeś hasło do routera już po resecie ustawień, oczywiście na inne niż było poprzednio. A skrypt wykonany poprawnie. Przez SHIFT+DEL skasuj folder C:\FRST. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się