wojsmol Opublikowano 5 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2014 WitamZnajomy od kilku dni walczy z infekcją podmieniającą DNS na najprawdopodobniej szkodliwe: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 68.168.98.196 8.8.8.8 Dodatkowym objawem w pierwszej fazie było też pojawianie się na niektórych stronach informacji zachęcającej do pobrania aktualizacji wtyczki Flash Player, pobierane pliki były rozpoznawane też jako zainfekowane. Zgodnie ze słowami znajomego robił on w ostatnich dniach kilka razy format. Załączam wymagane logi i proszęo pomoc. Proszę o niełączenie tego tematu z moim poprzednim tematem.Pozdrawiam //edit Ogólnie strona z aktualizacją Flash wyglądała bardzo podobnie do tej pokazanej przez kertagg22. Podczas pierwszego uruchomienia FRST coś się zaczeło kopiować w obrębie temp i skanowanie nie mogło sie rozpocząć. Po zakończeniu procesu FRST w zakładce Aplikacje menadżera zadań system zgłosił, że przestał działać exe o dziwnej nazwie. Po ponownym pobraniu FRST skan ruszył. Shortcut.txt Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 W raportach nie ma oznak czynnej infekcji po stronie systemu. Wygląda na to, że jest tu infekcja w DNS: Tcpip\Parameters: [DhcpNameServer] 68.168.98.196 8.8.8.8 Problemem jest 68.168.98.196, wg WHOIS to: KLIK. Rekonfiguracja DNS z poziomu systemu nic tu nie da. DhcpNameServer to jest wartość oznaczająca ustawienia przejęte z routera, czyli zainfekowany jest router i to jego ustawienia DNS oraz hasło dostępowe muszą być zrekonfigurowane. Czy jest dostęp do konfiguracji routera? Podczas pierwszego uruchomienia FRST coś się zaczeło kopiować w obrębie temp i skanowanie nie mogło sie rozpocząć. Po zakończeniu procesu FRST w zakładce Aplikacje menadżera zadań system zgłosił, że przestał działać exe o dziwnej nazwie. Po ponownym pobraniu FRST skan ruszył. Czy na pewno ten obiekt z Temp to nie był przypadkiem jeden ze składników FRST? Skan FRST powoduje tworzenie obiektów w Temp (others, log3...). . Odnośnik do komentarza
wojsmol Opublikowano 6 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 (edytowane) Witam 1. Kwestię dostępu do routera zaraz będe sprawdzał. 2. Czy w któryś z logów sąwymienione składniki FRST? Pozdrawiam Edytowane 6 Kwietnia 2014 przez wojsmol Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 Czy w któryś z logów sąwymienione składniki FRST? Jeśli zmierzasz do "Temp", to nie, te obiekty nigdy nie są widoczne w logach. . Odnośnik do komentarza
wojsmol Opublikowano 6 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 Witam Tak, w punkcie 2 z mojego poprzedniego posta nawiązywałem do kwestii tych plików kopiowanych do folderu Temp , dokładnie byłto folder Temp zalogowane użytkownika. Niestety nie zostały wykonane zrzutyekranu, sytuacjęwidziałem tylko poprzez współdzielenie ekranu w Skype. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 Tymi Tempami się tak nie przejmuj. I tak na końcu podam klasyczne czyszczenie tych lokalizacji. Interesuje mnie teraz wynik resetu ustawień routera. . Odnośnik do komentarza
wojsmol Opublikowano 6 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2014 Witam Po długiej walce udało się przeprowadzić reset routera, jego ponowną konfigurację i najprawdopodobniej aktualizację oprogramowania. Nowy OTL.txt w załączniku. Dodatkowo pojawił się problem z logowaniem na Skype relatywny do tego artykułu pomocy Skype, jednak podane rozwiązanie nie działa. //edit Kolejny problem to niedziałające transfery plików w komunikatorze WTW przez sieć GG. Przy transferze pomiędzy WTW a najnowszym stabilnym AQQ po stronie AQQ widaćto jako niekończącą się negocjację lub błąd połączenia. Od innej osoby korzystającej z WTW pliki idą bez kłopotu. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2014 Owszem, widać w OTL, że DhcpNameServer jest zresetowane już. Przypominam jednak, że domyślny pokazywany log to FRST a nie OTL. OTL sprawdzam tylko pobocznie. Dodatkowo pojawił się problem z logowaniem na Skype relatywny do tego artykułu pomocy Skype, jednak podane rozwiązanie nie działa. Wzoruj się na tym poście: KLIK. Ścieżki w C:\Users tutaj to: C:\Users\Tomek\AppData\Local\Temp C:\Users\Tomek\AppData\Local\Skype C:\Users\Tomek\AppData\Roaming\Skype Kolejny problem to niedziałające transfery plików w komunikatorze WTW przez sieć GG. Przy transferze pomiędzy WTW a najnowszym stabilnym AQQ po stronie AQQ widaćto jako niekończącą się negocjację lub błąd połączenia. Od innej osoby korzystającej z WTW pliki idą bez kłopotu. A jest pewnym, że COMODO Internet Security nie ma tu nic do rzeczy? . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się