Otwierające się erostrony...

[eNNeR]

Witam.

 

Nie wiem co się dzieje, skanowałem komputer 2 antywirusami. Próbowałem naprawć problem z pomocą wujka Google, niestety problem dalej się pojawia. Co ok. 10 kliknięcie podczas uzywania przegladarki (Firefox) wyskakuje mi okno z jakąś erostroną. Mógłby mi ktoś pomóc? Z góry dziekuję.

Additional.txt

Shortcut.txt

FRST.txt

GMER.txt

[picasso]

Proszę nie zniekształcaj raportów z FRST - dostarczone pliki to nie są oryginały, tylko przeklejona wtórnie treść zapisana ponownie do nowych plików. Skutki: "Additional.txt" to sieczka przejść do nowych linii w środku i fatalnie się to czyta, wszystkie raporty są w złym kodowaniu ANSI (a nie UTF-8 jak oryginały), które powoduje utratę specjalnych znaków.

 

Jest tu infekcja routera, pierwszy adres jest ukraiński: KLIK. To jest główny powód występowania erostron i tego nie rozwiąże żaden antywirus czy inne narzędzie uruchomione spod Windows, problem leży w innym urządzeniu.

 

Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8

 

Poza tym, są mniejsze śmieci w postaci różnych obiektów adware (niektóre w systemie od bardzo dawna). Do wdrożenia następujące operacje:

 

1. Jeśli masz dostęp, zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dostarcz oryginalne pliki a nie "przeklejki".

[eNNeR]

Dziękuje za zainteresowanie się moją sprawą.

 

Zrobiłem tak jak mi poleciłeś, mam problem ze zmienieniem ustawień DNS. Gdy ustawię wszystko tak jak na screenie ze strony KLIK po kliknięciu SAVE strona zawiesza się oraz pokazuje się komunikat "Połączenie z serwerem zostało zresetowane podczas wczytywania strony." Później już wgl nie mogę zalogować się do mojego routera, muszę od nowa resetować i konfigurować router.

[picasso]

Czy mam rozumieć, że reset ustawień routera nie pomaga i nadal wraca zainfekowane DNS? A może chodzi o niemożność konfiguracji połączenia po resecie? O jakim modelu routera konkretnie mowa? Na razie podsuwam ten wątek:

 

Jak sprawdzić czy router ADSL firmy TP-LINK jest zabezpieczony przed dostępem niepowołanych osób od strony Internetu

 

Przed przywróceniem ustawień fabrycznych urządzenia zalecamy otwarcie nowego okna lub nowej zakładki przeglądarki internetowej i otwarcie strony z instrukcją ponownej konfiguracji routera: http://www.tp-link.com.pl/article/?faqid=338. Router należy skonfigurować postępując według procedury opisanej na tamtej stronie, jako typ połączenia wybierając PPPoE LLC lub PPPoA VC-MUX (w zależności -od zalecenia dostawcy Internetu).

 

PS. Ad "poleciłeś" = jestem kobietą.

[eNNeR]

Zastanawiałem się właśnie czy jesteś kobietą czy mężczyzną, niestety nick 'picasso' dał mi do zrozumienia, że jesteś mężczyzną. Raz jeszcze przepraszam Panią

Czy mam rozumieć, że reset ustawień routera nie pomaga i nadal wraca zainfekowane DNS?

Po wykonaniu całej operacji pokazywanej na owym screenie, strona po prostu się zawiesza. Nie mogę zatwierdzić zmiany ustawień.

 

Wykonałem również :

 

weryfikację czy w zakładce: "Interface Setup"-> "LAN" -> na samym dole strony nie jest zmieniona zakładka  "DNS Relay" zainfekowane urządzenia mają DNS Relay ustawione na Use User Discovered DSN Server Only i poniżej może znajdować się jeden z poniższych adresów IP:
    5.45.75.36
    5.45.75.11
    95.211.241.94
    95.211.205.5
    95.211.156.101
    37.252.127.83
    69.85.88.100
    62.113.218.106

 

U mnie jest "192.168.1.1" oraz Use Auto Discovered DSN Server Only. Dlatego teraz jestem zmieszany, czy jest ta infekcja czy nie? :/

 

A może chodzi o niemożność konfiguracji połączenia po resecie?

Gdy zresetuje router wszystko wraca do normy tj. wszystko można zmieniać do póki gdy wejdę w Interface Setup -> LAN. Znów po kliknięciu SAVE strona się zawiesza i od nowa muszę resetować oraz konfigurować router.

 

O jakim modelu routera konkretnie mowa?

TP-LINK TD-W8901G

 

 

 

PS. Podałem stan przed zmianami pokazanymi w podanym wątku. Po wysłaniu tego posta zabieram się do konfiguracji pokazanej w w.w wątku.

[picasso]

O jakim modelu routera konkretnie mowa?

TP-LINK TD-W8901G

Wykonaj od razu aktualizację firmware. Instrukcje:

 

Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND)

[eNNeR]

Router skonfigurowany poprawnie zgodnie z instrukcjami.

 

Podczas konfiguracji zgodnie z podanym wątkiem napotkałem pewien problem, po wykonaniu wszystkiego z podaną instrukcją klikając na SAVE nic się nie dzieje. Strona wgl się nie odświeża, zatwierdzając zmiany.

[picasso]

Podałam powyżej aktualizację firmware (powinna zawierać natywne zabezpieczenie). Czy robiłeś z tym podejście?

[eNNeR]

Aktualnie szukam aktualizacji do mojego modelu...

 

Mógłbym wrzucić foto naklejki spod routera byś pomogła mi znaleźć odpowiednią aktualizacje?

[picasso]

Pobieranie jest na stronie opisowej modelu:

 

Bezprzewodowy router/modem ADSL2+, TD-W8901G

 

W sekcji "Do pobrania" > Firmware masz do wyboru trzy serie: V2, V3, V6. Porównujesz ze swoją naklejką i klikasz korespondujący link.

[eNNeR]

Na naklejce było V 3.2 więc wybrałem wersje V 3.

Zaktualizowałem, ustawiłem wszystko tak jak TU i dalej ten sam problem. Wykonując KROK 3 strona wgl się nie odświeża, jest problem z zapisaniem zmian.

 

 

O dziwo wchodząc na podaną stronę z orange mode scan, pojawił się przyjemny komunikat : "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu." Dodam, że wcześniej miałem inny ostrzegający mnie, że jestem bardzo narażony na włamanie do modemu.

[picasso]

Tak, po to była aktualizacja firmware. Router był resetowany, zostało zaktualizowane firmware. Pytaniem jest: co widzisz w polach Primary i Secondary DNS? Jeśli nie figuruje tam adres szkodnika 195.238.181.164, to zostaw ustawienia w formie obecnej. Zresetuj system, zrób nowe logi FRST, a przejdę do dalszego czyszczenia (bufor DNS, adware).

[eNNeR]

W DNS mam wybraną opcje Use Auto Discovered .... Pole Primmary oraz secondary są nie aktywne

[picasso]

Tak jak mówię, zostaw tak jak jest, zresetuj system, by zaktualizował dane o DNS z routera. I pojedziemy dalej.

[eNNeR]

Już podaje logi, nic nie zmieniane, oryginalne.

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

Przechodzimy do dalszej części czyszczenia. W międzyczasie nabawiłeś się kolejnego adware key-find i Internet program. Przypuszczalna droga nabycia to jakiś "downloader" portalowy": KLIK.

 

 

Kolejna porcja zadań:

 

1. Przez Dodaj/Usuń programy odinstaluj:

- Adware/PUP: key-find uninstall, Qtrax Player, SHOUTcast Radio Toolbar, Softonic-Polska Toolbar.

- Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.0, EXPERTool 7.5.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1409082233-651377827-1177238915-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V
HKU\S-1-5-21-1409082233-651377827-1177238915-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V
URLSearchHook: [s-1-5-21-1409082233-651377827-1177238915-1001] ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKU\S-1-5-21-1409082233-651377827-1177238915-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms}
BHO: Internet Program -> {ff0021ad-2cc3-4e0d-8e3c-b4153a64a495} -> C:\Program Files\Internet Program\Extensions\ff0021ad-2cc3-4e0d-8e3c-b4153a64a495.dll ()
Toolbar: HKLM - No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File
Toolbar: HKU\S-1-5-21-1409082233-651377827-1177238915-1001 -> No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\nukl7zsu.default\extensions\searchengine@gmail.com
FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\nukl7zsu.default\extensions\faststartff@gmail.com
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{A68C16E5-74BB-40C8-8CD6-8C54B826F14E}.exe 
HKLM\...\Policies\Explorer: [NoCDBurning] 0
HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun ] 0
HKLM\...\Policies\Explorer: [NoViewContextMenu ] 0
HKU\S-1-5-21-1409082233-651377827-1177238915-1001\...\Run: [Clownfish] => [X]
S4 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
S3 VComm; system32\DRIVERS\VComm.sys [X]
S3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
S3 VHidMinidrv; system32\drivers\VHIDMini.sys [X]
C:\Jumpshot
C:\Documents and Settings\All Users\Dane aplikacji\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F024ED5C-33A4-469D-9CEA-B29D14E7F29C}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{ED436EA8-4145-4703-AE5D-4D09DD24AF5A}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CC41E216-BBA8-487F-8213-4AA2CFDF61A3}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C28385C1-6D64-4F5A-AAAA-203C4EC383EA}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{901A8C82-9A9E-4B8B-B88A-C6E8EC41BB3A}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{34D81777-850B-49BF-9A1E-84578F6FA5CD}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{32AA290A-D053-46F5-839A-CEF4479D9280}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{03A019EE-9BF6-4E7F-8460-A8FEBD03073B}
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
C:\Documents and Settings\All Users\Menu Start\Programy\cdp.pl
C:\Documents and Settings\All Users\Menu Start\Programy\Windows Resource Kit Tools\Windows Resource Kit Tools Help.lnk
C:\Documents and Settings\All Users\Pulpit\Farming Simulator 2013.lnk
C:\Documents and Settings\SysOp\Dane aplikacji\DAEMON Tools Lite
C:\Documents and Settings\SysOp\Dane aplikacji\key-find
C:\Documents and Settings\SysOp\Moje dokumenty\Euro Truck Simulator 2\readme.rtf.lnk
C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Common Files\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9
C:\Program Files\Internet Program
C:\Program Files\Mozilla Firefoxavg-secure-search.xml
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
C:\WINDOWS\jumpshot.com
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Hosts:
CMD: ipconfig /flushdns
CMD: netsh firewall reset
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clownfish" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[eNNeR]

Wiec tak, wykonałem to co mi zaleciłaś.

Odinstalowałem wszystko oprócz "Softonic-Polska Toolbar" kilkając na "Usuń" nic się nie uruchamiało.

 

Dodaje 2 pliki :

 

PS. Postanowiłem, że dziś zrobię formata i wgram nowy system. Także myślę, że na nowym win nie będzie takich problemów.

FRST.txt

Fixlog.txt

[picasso]

PS. Postanowiłem, że dziś zrobię formata i wgram nowy system. Także myślę, że na nowym win nie będzie takich problemów.

Nie widzę potrzeby prowadzenia tak drastycznych działań. Kilka uwag:

- To czym się obecnie zajmujemy to dość błahe sprawy.

- Jest tu archaiczny system XP pozbawiony wsparcia: KLIK. Jeśli wymiana systemu, to na nowoczesną platformę a nie to próchno.

- To na dodatek modyfikowany kastrat, nie jest to oryginał. Widać to po wielu śladach i niedomyślnych ustawieniach.

- Reinstalacja XP wymaga szczególnych środków odstrożności: KLIK. Problem instalacji robaków już podczas instalacji systemu nie dotyczy nowych platform.

 

Ale jeśli na to się zdecydujesz, to daj mi znać, gdyż dalsze czyszczenie jest bezcelowe.

[eNNeR]

Postawiłem na nowy system, także bardzo dziękuję za spore zaangażowanie w pomoc