FreezZ Opublikowano 11 Października 2014 Zgłoś Udostępnij Opublikowano 11 Października 2014 Witam jak w temacie napisałem mam problem z wirusem typu ukash, który blokuje niektóre strony na przeglądarkach. Próbowałem usunąć go poprzez skanowanie programem avast free antivirus oraz Malwarebytes. Po nieudanych próbach usunięcia postanowiłem sformatować komputer. Format poszedł na wszystkie dyski lecz niestety po uruchomieniu i zainstalowaniu wszystkich sterowników wirus nadal jest. Nie wiem co mam już zrobić. Dodam że mam oryginalnego windowsa 7 wersja 64 bit. Jeszcze pytanie czy ten wirus może siedzieć w routerze lub telefonie? Jeśli tak jak mogę to np przeskanować? Logi w załączniku. OTL.Txt OTLExtras.Txt FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
FreezZ Opublikowano 11 Października 2014 Autor Zgłoś Udostępnij Opublikowano 11 Października 2014 Zobaczyłem poprzednie tematy i jak pisano zresetowałem router i wpisałem w dns 8.8.8.8 oraz 8.8.4.4 Tutaj dodam nowe logi bo możliwe że już został problem rozwiązany ale mimo to proszę o sprawdzenie logów. Edit poprawione logi OTL.Txt FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Tak, poprzednio zainfekowany router: Tcpip\Parameters: [DhcpNameServer] 94.249.207.93 8.8.8.8 ... pomyślnie zresetowany: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 W logach nie ma widocznych żadnych szkodliwych obiektów. Do wykonania jeszcze te działania: 1. Czy zabezpieczyłeś router (zmiana hasła i zablokowanie panelu zarządzania przed dostępem z internetu)? Proszę uruchom test i podaj mi wyniki: KLIK. 2. Czyszczenie bufora DNS i lokalizacji tymczasowych oraz inne drobne korekty. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X] C:\ProgramData\APN EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. . Odnośnik do komentarza
FreezZ Opublikowano 12 Października 2014 Autor Zgłoś Udostępnij Opublikowano 12 Października 2014 1. Czy zabezpieczyłeś router (zmiana hasła i zablokowanie panelu zarządzania przed dostępem z internetu)? Proszę uruchom test i podaj mi wyniki: KLIK. Próbowałem zabezpieczyć router ale przy próbie robienia tego strona dostawcy nie chce się ładować na 2 przeglądarkach a wynik testu jest "Twoje urządzenie jest podatne na ataki z Internetu . skontaktuj się z producentem/dystrybutorem modemu!" Co do fixloga to jest on w załączniku. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Fix wykonany pomyślnie. Natomiast tego nie możemy zostawić, bo infekcja może powrócić: Próbowałem zabezpieczyć router ale przy próbie robienia tego strona dostawcy nie chce się ładować na 2 przeglądarkach a wynik testu jest "Twoje urządzenie jest podatne na ataki z Internetu. skontaktuj się z producentem/dystrybutorem modemu!" Co to za model urządzenia oraz jakie opcje przestawiałeś (dokładny rozpis w których zakładkach)? Czy hasło zmieniłeś? A jeśli rzeczywiście nic się nie da wskórać, to zostaje dostosowanie się do komunikatu, tzn. "skontaktuj się z producentem/dystrybutorem modemu". . Odnośnik do komentarza
FreezZ Opublikowano 12 Października 2014 Autor Zgłoś Udostępnij Opublikowano 12 Października 2014 Model routera to TP-Link TD-W8901G. Dokładnie co robiłem to zmieniłem adres DNS na 8.8.8.8 i 8.8.4.4 Ale to już wiesz. Dalej w zakładce Maintenance zmieniłem hasło dostępu do mojego routera (zakładka Administration) Dalej w Acces Menagement zakładka ACL próbowałem zmienić ACL activated -> active yes -> Adresy zostawiłem takie jakie są -> application ALL -> Interface LAN. I na tym właśnie się strona zawiesiła i nie chciała wł. Dołączam screana z ostatniej zakładki żeby było łatwiej zrobione tak jak na widocznym screanie. Dodam jeszcze że hasło do wifi zmienione. Używam WPA-PSK/WPA2-PSK Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Dalej w Acces Menagement zakładka ACL próbowałem zmienić ACL activated -> active yes -> Adresy zostawiłem takie jakie są -> application ALL -> Interface LAN. I na tym właśnie się strona zawiesiła i nie chciała wł. Czy ponowienie próby skutkuje tym samym efektem? Jeśli tak, to być może należy zaktualizować firmware urządzenia lub skontaktować się z pomocą techniczną dostawcy. Odnośnik do komentarza
FreezZ Opublikowano 12 Października 2014 Autor Zgłoś Udostępnij Opublikowano 12 Października 2014 Spróbowałem po raz kolejny i już nie zamuliło tego Już jest ustawione i teraz pytanko czy tych adresów nie trzeba zmieniać? Czy mają zostać 0.0.0.0 i 0.0.0.0? Próbowałem zmienić na 8.8.8.8 i 8.8.4.4 i nic Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Nie, te adresy nie powinny być zamienione na adresy Google. Wszystko jest OK i ponowne przeprowadzenie testu online powinno pokazać, iż router jest zabezpieczony. Na koniec: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
FreezZ Opublikowano 12 Października 2014 Autor Zgłoś Udostępnij Opublikowano 12 Października 2014 Delfix użyty oto log. Folder przywracania sys także wyczyszczony tak jak podano w poradniku. Dziękuje wielkie za pomoc :3 DelFix.txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Potwierdzam wykonanie zadania. Plik C:\DelFix.txt też możesz skasować z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi