Atak malware

[kertagg22]

slyszalem o tym, zmienilem dostawce internetu z netii na Orange i dalej to samo. Router to TP-LINK TD-W8901G

 

Dodaje logi z laptopa samsung, za jakis czas beda z kolejnego laptopa marki Asus, mam problem z usunieciem pewnego adware ale pomine go i zapytam sie was co zrobic zeby go usunac bo odinstalacja stoi w miejscu.

Additionost.txt

FRSTost.txt

AdwCleanerS0.txt

Fixlog.txt

[kertagg22]

z laptopa ASUS nie chce sie usunac program VideoPerformer, zawiesza sie instalacja tzn. nie laduje dalej tylko caly czas stoi w miejscu i nie wiem jak to inaczej usunac. Podaje logi:

Shortcut.txt

OTL.Txt

FRST.txt

Fixlog.txt

Extras.Txt

Addition.txt

[picasso]

Witam, mam znow ten sam problem z tymi stronami.. gdzie nie wejdzie na jakas znana strone pojawia sie taki komunikat jak wczesniej..... internet zostal nawet zmieniony i po paru dniach po zmianie znow ten problem.. O co tutaj chodzi? Jak to naprawic raz na zawsze?

Reinfekcja routera, oba IP są z Francji:

 

Tcpip\Parameters: [DhcpNameServer] 37.59.8.25 178.33.118.171

 

Tu nie ma innego rozwiązania niż reset ustawień DNS routera i nałożenie atypowego hasła. Skoro problem wraca, to znaczy, że router jest słabo zabezpieczony. Mówiłam wcześniej wyraźnie, by zmienić login, bo loginy fabryczne są zgadywane przez infekcję. Po nieudanym resecie routera grzebał tam informatyk, czy on w ogóle zadbał o to, by zmienić loginy na niedomyślne? Na temat zabezpieczania routera: KLIK.

 

 

A poprawkami po usuwaniu adware zajmiemy się potem, bo to nie takie istotne.

 

 

.

[kertagg22]

Niestety nie potrafię zreinfekować routera, raz próbowałem i musiałem informatyka wzywać i zapłaciłem 100zł za 10 minut roboty.. a czy zmienił to nie wiem bo nawet hasła na wifi nie ma a mnie wtedy nie było bo byłem na kursie przez miesiąc, jak wrociłem to już było pozmieniane wszystko.

[picasso]

kertagg22, bez zmiany ustawień routera nic nie zdziałasz, nie usuniesz tej infekcji. Ustawienia routera muszą być zmienione. Skoro masz problem z resetem routera do ustawień fabrycznych, to tego nie rób po prostu, za to wejdź do jego ustawień, by je przekonfigurować. Zaloguj się do niego, zmień login i adresy DNS. O ile nadal jest tu to samo urządzenie (tp-link Td-w8901G 54M) + informatyk nic nie zmienił, to przecież podałam PDF użytkowy (post #20) opisujący całą konfigurację. Domyślny pass (znany zresztą infekcji) to:

 

4.6.1 Administration

Choose Maintenance > Administration, you can set new password for admin in the screen

 

There is only one account that can access Web-Management interface.

The default account is admin, and the password is admin.

Ten login (admin + admin) używasz, by dostać się do ustawień. Następnie zmieniasz login z admin + admin na coś nietypowego + zmieniasz ustawienia DNS (również w PDF to jest i podawałam wcześniej). Nie wiedząc jakie DNS wstawić, możesz wpisać adresy Google wcześniej przeze mnie proponowane:

 

Primary / Podstawowy: 8.8.8.8

Secondary / Zapasowy: 8.8.4.4

 

 

 

.

[kertagg22]

Czy to tutaj zmienia się ustawienia loginu i hasła? Bo jedynie co moge zmienić to hasło.

 

 

 

 

2 pytanie, czy tutaj mam wpisać te primary i secondary ktore Pani podala wyzej?

 

 

 

Ps. zmienilem tam te DNS ale nie zapisuje sie cos.. chyba przez to ze trzeba ktoras opcje wybrac daje ss:

 

[picasso]

Tak, chodzi o te karty.

- Obrazek pierwszy: zmieniasz hasło

- Obrazek drugi, stoją tam adresy infekcji cytowane wcześniej przeze mnie w raporcie FRST. Czyli w Primary zamieniasz 37.59.8.25 na 8.8.8.8, a w Secondary 178.33.118.171 na 8.8.4.4.

- Na koniec resetujesz Windows, by przejął nowe ustawienia DNS z routera.

 

EDIT:

 

zmienilem tam te DNS ale nie zapisuje sie cos.

Co przez to rozumiesz? Po użyciu Save wchodząc w to miejsce nadal widzisz te infekcyjne sprzed edycji?

 

 

 

.

[kertagg22]

Tak, po zmienieniu adresów DNS po przelaczeniu karty mimo klikniecia opcji Save po powrocie na dana strone pojawiaja sie te adresy ktore byly - krotko mowiac prawdopodobnie nie zapisala sie edycja ale mozliwe, ze to przez to ze nie zresetowalem windowsa jak wyżej było pisane

 

 

 

Edit:

 

teraz jakims cudem pojawila sie nowa strona po zmianie klikalem kilka razy na save i poprosilo o dane logi i haslo, wiec wpisalem i pojawila sie znow kolejna strona z ustawieniami, taka:

 

[picasso]

Tak, po zmienieniu adresów DNS po przelaczeniu karty mimo klikniecia opcji Save po powrocie na dana strone pojawiaja sie te adresy ktore byly - krotko mowiac prawdopodobnie nie zapisala sie edycja ale mozliwe, ze to przez to ze nie zresetowalem windowsa jak wyżej było pisane

Reset Windows nie ma nic do rzeczy na "zapis" tych ustawień, z resetem Windows chodziło mi o całkiem odwrotny kierunek: by nowe już zapisane tu ustawienia Windows sobie przejął.

 

 

teraz jakims cudem pojawila sie nowa strona po zmianie klikalem kilka razy na save i poprosilo o dane logi i haslo, wiec wpisalem i pojawila sie znow kolejna strona z ustawieniami, taka

Aktywna karta się przełączyła. Miałeś wykonać zmiany konfiguracji sieciowej tylko w karcie "Interface Setup", a teraz podświetliła się kolejna karta "Advanced Setup". Jako że ja nie jestem pewna co Ty właściwie kliknąłeś, zrób reset routera: Maintenance > SysRestart > zaznaczone Current settings (a nie Factory) > klik w Restart. I przedstaw mi nowy raport FRST (bez Addition i Shortcut) z obojętnie którego lapka.

 

 

 

 

.

[wojsmol]

Witam

picasso przepraszam, że się wtrącam, kertagg22 zapoznaj się z tymi instrukcjami i je wykonaj w części dla osób majach dostęp do routera. Na koniec restart systemu.

Pozdrawiam

[kertagg22]

Kliknąłem na opcję Save poczym wyświetliło mi się okienko małe na tej stronie abym sie ponownie zalogował i zalogowałem się po zalogowaniu wyświetliła się ta strona którą podałem wyżej na screenie a resetu wolałbym nie robić aby nic nie zepsuć znów

 

EDIT:

 

dalej jest te zainfekowane IP w tej karcie:

 

FRSTpie.txt

[picasso]

wojsmol

 

Nie za bardzo rozumiem do czego zmierzasz. Przecież ja mu podałam to miejsce do edycji. Z Twojej instrukcji:

 

"Osoby które mogą zalogować się na swoje urządzenia prosimy o weryfikację czy w zakładce: "Interface Setup"-> "LAN" -> na samym dole strony nie jest zmieniona zakładka "DNS Relay" zainfekowane urządzenia mają DNS Relay ustawione na Use User Discovered DSN Server Only i poniżej może znajdować się jeden z poniższych adresów IP"

 

Siedzimy w jego karcie LAN: obrazek.

 

 

kertagg22

 

Żadnych zmian:

 

Tcpip\Parameters: [DhcpNameServer] 37.59.8.25 178.33.118.171

 

Spróbuj z innej strony:

- Zamiast zamieniać ręcznie adresy Primary i Secondary infekcji na Google, przełącz typ pobierania DNS, tzn. przestaw z "Use User Discovered DSN Server Only" na "Use Auto Discovered DNS Server Only" i Save

- Zresetuj urządzenie:

 

 

 

resetu wolałbym nie robić aby nic nie zepsuć znów

Tu nie chodzi o reset jaki poprzednio Cię utopił, czyli reset do ustawień fabrycznych, lecz o prosty reboot urządzenia (porównaj to do restartu Windows). Mówiłam wyraźnie:

 

Maintenance > SysRestart > zaznaczone Current settings (a nie Factory) > klik w Restart

 

 

 

.

[kertagg22]

Dobrze, zmienione zostało, zresetować urządzenie, tym małym guziczkiem na szpilke czy  wylaczyc na 10 sekund? 

 

 

PS. znow po zmianie i kliknieciu Save po zmianie karty zostaja takie ustawienia jakie byly a w MAC adres jakies 00:00:00:00:00:00 sie pojawia poprzednio przed zmianami tego nie bylo, mozliwe ze to moze byc tego wina ze nie chce sie zapisac?

[picasso]

Reset masz wykonać z poziomu karty Maintenance:

 

Maintenance > SysRestart > zaznaczone Current settings (a nie Factory) > klik w Restart

 

 

 

.

[wojsmol]

picasso Zmierzam do 2 części w sprawie ACL - odcięcie dostępu z poza LAN.

[kertagg22]

Zresetowane i dalej tak samo w tych ustawieniach jest

FRST1.txt

[picasso]

wojsmol

 

picasso Zmierzam do 2 części w sprawie ACL - odcięcie dostępu z poza LAN.

Tak, tylko że ta część tyczy już stanu po wyczyszczeniu złych DNS z sekcji LAN, tzn. resecie urządzenia do ustawień fabrycznych. Obecnie borykamy się z tym, iż ustawienia LAN nie chcą się zapisać. Tu się nasuwa, by robić reset do ustawień fabrycznych, ale miał problem z tym poprzednio i nie umiał sieci skonfigurować.

 

 

kertagg22

 

Jak mówię, moim zdaniem tu się kwalifikuje reset do ustawień fabrycznych. Skontaktuj się z dostawcą jakie mają być domyślne ustawienia sieci i pozapisuj dane, wykonaj fabryczny reset, skonfiguruj połączenie, zabezpiecz router. Jeśli nie umiesz tego zrobić, to niestety ja nie widzę innego wyjścia niż poprosić kogoś o pomoc, kogoś kto będzie miał rzeczywisty dostęp do routera a nie via instrukcje online. I żeby się nie powtórzyła historia, że zostaje uniwersalne hasło "admin"...

 

 

 

.

[kertagg22]

Dobra, porobilem screeny ustawien w routerze w tej stronie i mam na pulpicie. Gdzie mam teraz kliknac zeby go zresetowac? Na te factory reset tak?

 

EDIT: dobra probuje

[picasso]

Tak, miał być "Factory reset", ale w związku z tym, iż w ogóle nie chciały się zapisywać ustawienia, nie wiem czy cokolwiek uruchamiane z poziomu interfejsu konfiguracji "działa" jak należy. "Factory" można robić też z obudowy, co już wcześniej trenowałeś. Na czym więc obecnie stoisz?

 

 

 

.

[kertagg22]

Witam,

 

Udało mi się uporać z tym następnego dnia jak to miałem robić, z początku zrobiłem screeny z ustawień routera (IP internetu, ddns itp.) ale jak się okazało po zresetowaniu był te ustawienia które miałem poprzednio, jednie co musiałem zrobić to połączyć się z internetem (zrobić ponowne połączenie) i musiałem dzwonić do sieci, było ok. 22 co jak co czekałem 20 minut na lini aż odbiorą ale udało mi się to dzięki nim naprawić, poprowadzili mnie w instalacji co mam kliknąć i zaznaczyć aby połączyć się. No i na koniec po połączeniu się napotkałem na problem bo po raz kolejny miałem ten błąd z tymi wyskakującymi stronami tzn. jedną adobe flash player. Powiedziałem mu o tym i sprawdził ze swojego poziomu co jest grane, wcześniej mu powiedziałem jak tutaj mi pisano, ze przydzielono mi IP z Francji, wyskakuje mi taka strona wtedy i wtedy itd. i powiedział mi abym wszedł w jakąś tam zakładke (już nie pamiętam) i zmienił kilka opcji, wtedy router będzie zabezpieczony bo niby nie miałem zabezpieczonego i jak się okazało zadziałało wszystko. Hasła pozmieniałem tak jak tutaj była mowa także mysle,że tego problemu już nie będzie po raz kolejny. Wracając do czyszczenia pozostałości adware na laptopach, są tam jeszcze jakieś czy wszystko poszło zgodnie z planem? i dziękuje zapomoc po raz kolejny

[picasso]

No to z głowy. Te "kilka opcji" = nie pamiętasz co to było? Wracając do czyszczenia laptopów, to logów nie sprawdziłam wtedy, a tu dynks. Mamy kupę problemów:

 

 

LAPTOP SAMSUNG

 

Adware wyczyszczone, ale pojawiła się poważna infekcja, czyli rootkit Necurs.

 

1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen (173ac4b2719b9b72) oraz UDS:DangerousObject.Multi.Generic (syshost32) wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system. Na dysku C powstanie log z usuwania.

 

2. Otwórz Notatnik i wklej w nim:

 

(Dimagi) C:\Users\Samsung\AppData\Local\Temp\Buij\evvi.exe
HKLM-x32\...\Run: [aaaaaaaa] => C:\windows\SysWOW64\aaaaaaaa.exe [173056 2014-05-21] (Trifecta Technologies)
HKU\S-1-5-21-392818877-1939927122-1532879338-1001\...\Run: [aaaaaaaa] => C:\Users\Samsung\aaaaaaaa.exe [173056 2014-05-21] (Trifecta Technologies)
HKU\S-1-5-21-392818877-1939927122-1532879338-1001\...\Run: [Evvi] => C:\Users\Samsung\AppData\Local\Temp\Buij\evvi.exe [652800 2012-10-19] (Dimagi) 
Task: {44939CC7-9AEE-46D0-A93D-BD6C66308063} - \RegClean Pro No Task File 
C:\Users\Samsung\AppData\Local\Temp
C:\Users\Samsung\Downloads\setup (2).exe
C:\Users\Samsung\aaaaaaaa.exe
C:\windows\SysWOW64\aaaaaaaa.exe
C:\windows\SysWOW64\sqlite3.dll
RemoveDirectory: C:\AdwCleaner
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log z Kasperskiego.

 

 

 

LAPTOP ASUS

 

Źle wykonane instrukcje.... Fixlist się praktycznie nie wykonał. Uruchomiłeś "translator" na stronie forum, który zepsuł mój fix (przetłumaczył z angielskiego na polski słowa, które nie mogą być po polsku, oraz rozwalił ścieżki). Wkleiłeś do Notatnika śmieci. Pobierz najnowszą wersję FRST i zrób nowe logi dla pewności, bo tamte są sprzed ponad tygodnia.

 

 

 

 

.

[kertagg22]

Chyba to ustawiałem, już naprawde nie pamiętam ale raczej o to chodzi: Zakladka ADSL

 

 

Juz wykonuje powyzsze polecenia

 

 

Po przeskanowaniu i usunieciu tch dwoch plikow po zresetowaniu wyswietlilo sie takie cos w trybue testu:

 

 

[picasso]

Tak, Tryb Testu tu cały czas jest włączony (warunek, by sterownik Necurs się załadował), tylko go uprzednio nie widziałeś gołym okiem (czynny rootkit). Po usunięciu rootkita uwidacznia się znak wodny na Pulpicie. To się łatwo usunie, jest stosowny rekord w raporcie FRST widoczny. Na teraz masz dokończyć operację z Kasperskym i dostarczyć końcowe logi.

 

 

 

.

[kertagg22]

Nie moge dodac tutaj postu bo jest za dlugi, wynikow skanow z kasperskiyego nie moge dodac boipsze mi "wysylanie ominiete nie wybrano pliku do importu probowalem wleic na wklejto ale takze za dlugie, tutaj takze wiec nie wiem gdzie to mam wleic

[picasso]

Czy na pewno mówimy o pliku C:\TDSSKiller.wersja_data_czas_log.txt? Skoro z nim jest problem, spakuj do ZIP, shostuj gdzieś i podaj do tego link.

 

 

 

.