adam13 Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 czy ktoś pomoże?? najpierw pokazywal mi sie ukash potem strony z ostrzezeniami policji ze przegladam strony niedozwolone, resetowałem ruter i pomagalo czysciłem a teraz pojawia sie strony pornograficzne ruter własnie zabezpieczyłem bo nie był... wg instrukcji i co dalej.. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Opis problemu biedny, mógłbyś dokładniej przedstawić sprawy... Infekcja nie jest po stronie systemu i nie pomogą żadne skanery czy "fiksy". Tu jest infekcja routera - pierwszy adres jest ukraiński: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony pozostałe działania: 2. Deinstalacje: Przez Panel sterowania odinstaluj starą wersję Java 7 Update 67, zbędny przestarzały Spybot - Search & Destroy oraz wątpliwy skaner z czarnej listy SpyHunter. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. Zresetuj też cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3842171764-2869596894-789366844-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3842171764-2869596894-789366844-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3842171764-2869596894-789366844-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> No File Path Task: {0BDD645A-1D6B-4DB2-B6C3-5E46C85DDF15} - System32\Tasks\{FABF9EBF-0DEA-4A71-A61A-27E3A41FFF8E} => pcalua.exe -a G:\SISetup.exe -d G:\ Task: {34654672-028F-4921-9FDA-A889A4D62CC0} - System32\Tasks\{155D6E6C-5A60-4166-83D1-9FD0F6EB8F31} => pcalua.exe -a C:\Users\-\IN1EGC18WW5.exe -d C:\Users\- Task: {444C6D3A-C651-4BD3-B49A-6E08C791B0BD} - System32\Tasks\{FC4BCAC9-72C6-4E5A-98F2-6A04B840146D} => Chrome.exe Task: {578E4744-B444-4CE4-9734-7CB3CB6CF146} - System32\Tasks\Google Updater and Installer => C:\Users\-\AppData\Local\Google\Update\GoogleUpdate.exe Task: {8D905414-46D3-4741-90A4-738DEDE09920} - System32\Tasks\{A0F0AF63-6FA9-4646-80CB-129CD5DD97DE} => pcalua.exe -a E:\HpSetup.exe -d E:\ Task: {AFC7AF39-D967-48E1-824F-7AA6F17A8247} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {BC6E7BAF-613D-4638-8979-EEE57C458DA8} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {CD1F8EAA-00CD-4262-951A-EB2FEC8A9FA1} - \Program aktualizacji online firmy Adobe. No Task File HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Classes\exefile: U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\-\AppData\Local\Temp\catchme.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath C:\ProgramData\mshaigu.exe C:\Users\-\*.exe C:\Users\-\Downloads\jxpiinstall*.exe C:\Windows\System32\Tasks\Norton Identity Safe CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
adam13 Opublikowano 14 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 witam dziekuje za pomoc choc nie wiem czy to cos dalo... serwer uparcie nie chciał zapisać nowych adresów dnl ale po sprawdzeniu ze strony orange test wypadł pomyslnie i zapora rutera działa. zrobilem wszystko według wskazówek nie powiem "łopatologicznie "wyjasnione choć nieb bardzo wiedziałem co to znaczy "położyć plik fixlist.txt obok FRST" chodzi o to ze ma być położony na tym samym poziomie w tym samym katalogu co FRST?? ps w czasie zabawy z pszenoszeniem znów wyskoczylo mi okienko z paniami...eh oto logi FRST_14-01-2015_20-58-10.txt Fixlog_14-01-2015_20-47-45.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2015 Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To archiwum logów. Bieżący log jest zawsze w tej samej lokalizacji skąd uruchamiano FRST - w tym przypadku katalog Pobrane. I nie odinstalowałeś SpyHunter - to jest program z czarnej listy. zrobilem wszystko według wskazówek nie powiem "łopatologicznie "wyjasnione choć nieb bardzo wiedziałem co to znaczy "położyć plik fixlist.txt obok FRST" chodzi o to ze ma być położony na tym samym poziomie w tym samym katalogu co FRST?? Chodzi o to, że plik skryptu i FRST mają siedzieć w tym samym folderze. serwer uparcie nie chciał zapisać nowych adresów dnl ale po sprawdzeniu ze strony orange test wypadł pomyslnie i zapora rutera działa. ps w czasie zabawy z pszenoszeniem znów wyskoczylo mi okienko z paniami...eh Niby w nowym logu jest zmiana, tzn. wartość DhcpNameServer (pobierana z routera) wskazuje już adres routera. Ale wykonałeś dodatkowe polecenia, których nie zadałam - jest zmodyfikowana wartość NameServer (ustawienia po stronie Windows) na serwery Google. Serwery w Windows nas nie interesują, bo to nie tu jest problem. Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{58D1F063-6E9E-4A9E-94A1-DC27F83EB27E}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu konfiguracji routera pokazujący aktualne ustawienia DNS. Odnośnik do komentarza
adam13 Opublikowano 15 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 witam spyhuntera nie mogłem odinstalować próbowałem nawet po kawałku z poziomu program files ale chyba teraz ccleaner-em udało sie Dns-y na ruteze cały czas przestawiają mi sie na" use auto..." jak zmieniam na "use user..." i wpisuje swoje 8.8.8.8 i 8.8.4.4 i save-uje a potem odswierzam to zmienia mi sie z powrotem na "use auto.." w windowsie też poprzestawiałem zgodnie z http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html Odnośnik do komentarza
lemko20 Opublikowano 15 Stycznia 2015 Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Witam, dołączam się do tego tematu. Też padłem ofiarą ataku, od wczoraj wieczorem. Mam ten sam problem i takie same objawy. Nawet na wi-fi w telefonie jest przekierowanie. Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2015 Zgłoś Udostępnij Opublikowano 23 Stycznia 2015 adam13 spyhuntera nie mogłem odinstalować próbowałem nawet po kawałku z poziomu program files ale chyba teraz ccleaner-em udało sie Wymagane są świeże logi FRST (FRST.txt + Addition.txt) obrazujące postęp prac. Dns-y na ruteze cały czas przestawiają mi sie na" use auto..." jak zmieniam na "use user..." i wpisuje swoje 8.8.8.8 i 8.8.4.4 i save-uje a potem odswierzam to zmienia mi sie z powrotem na "use auto.." Mam pytanie: czy na pewno po wykonaniu skryptu FRST (załączona komenda ipconfig /flushdns) przekierowania reklamowe nadal występują? lemko20 Zasady działu. Każdy ma mieć osobny temat. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się