Skocz do zawartości
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

"Nie do końca usunięty" adfoc.us

SphunaR

Przez SphunaR
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

SphunaR

SphunaR

Opublikowano
Opublikowano

Komputer został zainfekowany wirusem przekierowującym na adfoc.us.

Po posprzątaniu <MBAM, ADW Cleaner itp.> i resecie routera oraz zabezpieczeniu go niektóre strony nadal przekierowywało na adfoc.us, ale wyświetlał się już tylko biały ekran. Aktualnie problem powrócił do stanu początkowego.

Dlatego proszę o sprawdzenie logów.

 

W trakcie skanowania GMER:
C:\Windows\system32\config\system
C:\Users\Marta\ntuser.dat

 proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Reset routera pozorowany, nadal jest z niego pobierany szkodliwy adres:

 

Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8

 

Wnioski: albo reset routera był nie do końca poprawny, albo po resecie go nie zabezpieczyłeś (zamknięcie panelu zarządzania od strony Internetu). Czyli do wykonania:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: ipconfig /flushdns
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM\...\Policies\Explorer: [NoControlPanel] 0
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza
SphunaR

SphunaR

Opublikowano
  • Autor
Opublikowano

Jak się upewnić, że na routerze już jest wszystko OK? Reset był robiony przez przytrzymanie przycisku - przywrócenie do ustawień fabrycznych, a po tym zabezpieczenie właśnie tak j/w. Blokada dostępu z zewnątrz + zmiana wszystkich haseł. Strona sprawdzająca poprawność konfiguracji mówiła, że wszystko jest OK (po resecie było, że jestem zagrożony).

Aktualnie jak sprawdziłem dalej jest wszystko dobrze.

 

W momencie tworzenia logów nie miałem połączenia z internetem więc może to

Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8

to po prostu jakieś 'pozostałości'?

 

W związku z tym wykonać skrypt czy jeszcze nie?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W momencie tworzenia logów nie miałem połączenia z internetem więc może to

Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8

to po prostu jakieś 'pozostałości'

Jeśli system nie był podłączony do sieci, to nie miał szansy zaktualizować ustawień rejestru. DhcpNameServer jest pobierane dynamicznie z routera. Podłącz sieć, zresetuj system, po tym wykonaj skrypt do FRST (uwzględnia czyszczenie bufora DNS i plików Temp, co może mieć związek z istnieniem przekierowań mimo resetu routera) i pokaż nowy log.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

DNS pobierane z routera pomyślnie skorygowane:

 

Tcpip\Parameters: [DhcpNameServer] 192.168.88.1

 

Fix też wykonany i problemu przekierowań na tym komputerze już nie powinno być. Na koniec:

 

Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

Jest możliwe, żeby wirus mimo zabezpieczenia routera przechodził z telefonu? Bo na telefonie z androidem mimo korzystania z innych sieci ciągle przekierowuje na adfoc. DNS w telefonie oczywiście też były zmienianie.

Nic mi o tym nie wiadomo. Sytuacja raczej wskazuje, że coś nie jest doczyszczone w telefonie - może być to cache DNS. W widzianym tu Windows już to adresowałam komendą ipconfig /flushdns. Niestety na Androidzie nie ma odpowiednika. Jeśli nie pomaga regulacja DNS w telefonie, to może trzeba wykonać trwardy reset telefonu: KLIK. Oczywiście zakładam, że problemem nie jest któraś sieć (inny router), do której jest wpinany telefon.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...