adultyum.info - Przeglądarka sama otwiera strony co jakiś czas

[kajak]

Witam,

 

Mam mały problem przeglądarka (chrome,firefox) sama otwiera ciągle co jakiś czas sama z siebie podczas użytkowania z neta stronę internetowa dla dorosłych :/ Mój antywirus Comodo nic nie wykrył. Program Anti-Malvare coś tam znalazł ale po usunięciu plików nic się nie zmieniło strona dalej sama wyskakuje. Nawet Combofix nic nie poradził stad moja prośba o pomoc. Poniżej link do raportów z OTL 

 

http://www.wklej.org/id/1638706/

http://www.wklej.org/id/1638709/

 

 

PS.

 

Dodam, że przeinstalowanie przeglądarek nic nie dało dalej otwiera się ciągle ta sama strona (hxxp://adultyum.info/) co jakiś czas.

[jessica]

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 195.238.181.164 8.8.8.8 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B4C8380F-38F3-44F7-9869-0C8636F71FC4}: DhcpNameServer = 195.238.181.164 8.8.8.8

Zmieniły się zasady obowiązkowych logów - zamiast OTL trzeba dać FRST https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/

 

Ukraińskie DNS'y.

Jeśli korzystasz z routera, to:

Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu.

Przejrzyj te artykuły:

http://multimo.telestrada.pl/uwaga1

http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

 

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:

http://cert.orange.pl/modemscan/

 

Potem oczywiście daj wymagane logi, bo z OTL @Picasso nawet nie zechce obejrzeć.

[MarkFrank]

Witam

 

Pomimo zmiany DNS'ów w laptopie na statyczne TPSA(194.204.152.34), oraz skorzystania z innego punktu dostępowego(np. smartfon udostępniający internet 3G), nadal pojawia się co jakiś czas okienko z tą stroną...

 

Laptop był czyszczony Spybot 1.6, adwcleaner czytałem logi FRST i jedynymi podejrzanymi wpisami było goforfiles, ukrainskie DNS'y, oraz "zaplanowane zadanie" pliku o dziwnej nazwie, który i tak nie istniał

Wszystkie poderzane wpisy dodałem do fixlist, jednakże to okienko nadal wyskakuje...

[kajak]

Dziękuję za szybką odpowiedź. W routerze zmieniłem DNS zablokowałem dostęp z zewnątrz zmieniłem hasło, przeprowadziłem test i jak na razie wszystko w porządku. Dla pewności wstawiam logi z FRST.

 

Proszę o rzucenie okiem czy wszystko ok

 

Pozdrawiam

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

MarkFrank

 

Zasady działu nie przeczytane: KLIK. Tu jest zakaz podpinania się pod cudze tematy i post poleci do kosza. Proszę założyć własny temat, dostarczyć obowiązkowe raporty z FRST i GMER i pokazać też co za "fixlist" był przetwarzany.

 

 

kajak

 

Proszę nie twórz postów-duplikatów, bo to nie przyśpieszy spraw - duplikat leci do kosza. Temat zostanie rozpatrzony w stosownym czasie bez przypominania. I na temat używania ComboFix: KLIK.

 

EDIT: Raporty przejrzane. Do wykonania jeszcze poboczne zadania, tzn. usunięcie przekierowań easy-google-search.blogspot.com, czyszczenie bufora DNS i lokalizacji Temp.

 

1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\ProgramData\Microsoft\Windows\GameExplorer\{2E842A51-A31E-4480-8CE4-158279A57CAE}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net
CMD: ipconfig /flushdns
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

 

4. W Dzienniku zdarzeń są tego typu błędy:

 

System errors:

=============

Error: (02/17/2015 07:13:54 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT)

Description: Wystąpił krytyczny błąd sprzętowy.
 

Zgłoszone przez składnik: rdzeń procesora

Źródło błędu: 3

Typ błędu: 9

Identyfikator procesora: 0
 

Widok szczegółów tego wpisu zawiera dodatkowe informacje.

 

Pod tym kątem załóż nowy temat w dziale Hardware podając dane wymagane działem: KLIK.

[kajak]

Jeszcze raz dziękuję za pomoc i cierpliwość do mojej osoby  W miedzy czasie usunąłem OTL i dopiero później zrobiłem ten plik fixlist.txt i odpaliłem FRSTwykonało działania zresetowało kompa ale plik fixlog.txt nie powstał :/ Rozumiem, że coś zmaściłem?

[picasso]

Skoro nastąpił autorestart, to FRST wykonał skrypt. Plik Fixlog.txt powinien być nagrany tam skąd uruchamiano FRST - ostatni log wskazywał, że FRST działał ze ścieżki C:\Users\x.

[kajak]

Jest znalazłem go

 

 

I niestety w dniu dzisiejszym 22.02.2015 znowu mi się otworzyła ta sama co wcześniej strona dla dorosłych zamiast tej która powinna(nie w nowym oknie ale w nowej karcie) :/ Sprawdziłem router i dns i możliwość dostania się do niego z zewnątrz i wszystko jest zabezpieczone. To jakiś wirus jest czy jak ? Bo już powoli się gubię?

Fixlog.txt

[picasso]

I niestety w dniu dzisiejszym 22.02.2015 znowu mi się otworzyła ta sama co wcześniej strona dla dorosłych zamiast tej która powinna(nie w nowym oknie ale w nowej karcie) :/ Sprawdziłem router i dns i możliwość dostania się do niego z zewnątrz i wszystko jest zabezpieczone. To jakiś wirus jest czy jak ? Bo już powoli się gubię?

Poproszę o nowe raporty z FRST (wszystkie trzy).

[kajak]

Proszę o to nowe raporty. Może chodzi o http://www.purepc.pl/z_sieci/serwis_redtube_mogl_infekowac_komputery   może się już brzytwy chwytam bo już nie wiem o co c'mon :/

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Cóż, nie. Nie szukaj infekcji tego rodzaju. Router jest ponownie zainfekowany:

 

Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8

 

Powtarzaj całą procedurę czyszczenia i zabezpieczenia routera. Dodatkowo, problem powraca, czyli jest jakaś poważna luka w urządzeniu - wejdź na na stronę producenta routera i poszukaj aktualizacji firmware (o ile coś będzie). Po konfiguracji routera zrób nowy raport z FRST.

[kajak]

Ok uaktualnię firmware routera.Jak tylko to zrobię to wstawię raport. Ale to jest o tyle dziwne, że na routerze są te parametry które ja ustawiłem dns, hasła, niemożliwość dostania się do niego z zewnątrz. 

 

 

Edit.

Ok firmware routera zaktualizowany. Poniżej raport.

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

O jakim modelu routera to mowa? Czy skan oline zwraca pozytywny komunikat o braku dostępu z zewnątrz? Ponowienie czyszczenia cache DNA i Temp + inne drobnostki:

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com
HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\...\Run: [Rundll32] => "C:\Program Files\SimCity Installer\64bit\hstart64.exe" /NOCONSOLE /IDLE /D="C:\Program Files\SimCity Installer\64bit\" "C:\Program Files\SimCity Installer\64bit\runall64.bat"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Program Files (x86)\Temp
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: ipconfig /flushdns
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Nastąpi restart, w folderze skąd uruchamiasz FRST powstanie kolejny fixlog.txt. Przedstaw go.

[kajak]

Router Tp-link td-w8901g. Tak ten skan orange zwraca informację, że jest zabezpieczony. Mogę się mylić ale wydaje mi się, że jak był nawrót otwierania samemu stron to chyba też zwracał informację, że wszystko ok. Ale może w czasie pomyliło mi się wykonanie testu więc ręki uciąć nie dam za tą informację. Jeśli chodzi o Fixlog umieszczam poniżej. Czy wszystko już jest w porządku ? W jaki sposób mam obserwować działania routera czy nie znowu został przejęty? Czy pojawianie się samo otwierającej strony dla dorosłych i reklamami było spowodowane własnie zainfekowaniem routera czy też dochodzi do tego jakiś wirus na kompie czy coś innego ?

 

Fixlog.txt

[picasso]

Router Tp-link td-w8901g. (...) Czy wszystko już jest w porządku ? W jaki sposób mam obserwować działania routera czy nie znowu został przejęty?

Firmware zaktualizowane, urządzenie skonfigurowane i test pomyślnie przechodzi. Nie widzę tu nic więcej do roboty w zakresie routera na dzień dzisiejszy.

 

 

Czy pojawianie się samo otwierającej strony dla dorosłych i reklamami było spowodowane własnie zainfekowaniem routera czy też dochodzi do tego jakiś wirus na kompie czy coś innego ?

Winą były przekierowania DNS wykonywane na poziomie routera. Identyczny hijack był w tym temacie, notabene ten sam model routera (firma go wycofała): KLIK.

 

 

Skrypt wykonany. Na koniec:

 

1. Usuń folder C:\Windows\erdnt z kopią rejestru utworzoą przez ComboFix.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[kajak]

Dziękuję za pomoc:) W załączniku wklejam delfix. Foldery przywracania systemu wyczyściłem. Mam w sumie jeszcze jedno pytanie bo w domu mam jeszcze jeden laptop korzystający z sieci wifi. Z tego co wiem to tam też wyskakiwały jakieś reklamy czy również dla tamtego komputera trzeba będzie zrobić podobne operacje ? Tzn. testy FRST itp itd. ?

DelFix.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt.

 

Zainfekowany router oddziaływał na wszystkie urządzenia w sieci domowej. Ale oczywiście dla sprawdzenia czy nie ma dodatkowych aspektów należy dostarczyć świeżutki komplet logów (FRST + GMER) z laptopa.

[kajak]

Jeszcze raz dziekuję. Oto dane z drugiego laptopa Dell Inspiron N7110.

 

Plus info z Defogger

 

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:31 on 24/02/2015 (wojtek)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...


-=E.O.F=-

 

 

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Nie widać tu czynnej infekcji. Tylko drobne działania do przeprowadzenia. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2192512233-2440722427-3420272389-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com
FF Keyword.URL: hxxp://www.google.com/cse?cx=partner-pub-5528014799800033:cevktqnfrvl&ie=ISO-8859-1&q=
Task: {89B7CFCE-4A40-4D23-8794-96F8149E7A71} - System32\Tasks\{4C3F38B6-B4B2-49FA-B4A7-20BB647A1DA3} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/go/help.faq.installer?LastError=1618
Task: {BE9F9ED2-A7EC-440B-BA42-F4B24D944AB3} - System32\Tasks\{C0F969F2-D58B-49A1-864D-2B2CE11A4776} => pcalua.exe -a E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update\setup.exe -d E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update
Task: {D3BB7FD4-360A-4D0C-AA0F-3F80C0AB3C2E} - System32\Tasks\{07366C4D-B6D3-4638-A14E-B1E62938418A} => E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update\setup.exe
Task: {E86BC747-0FED-4692-9FBC-74997B796CDA} - System32\Tasks\{5F240D26-5E8B-44B8-B059-319BDC5C0747} => Iexplore.exe http://ui.skype.com/ui/0/6.14.0.104/en/abandoninstall?page=tsProgressBar
CMD: ipconfig /flushdns
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Nastąpi restart, w folderze skąd uruchamiasz FRST powstanie kolejny fixlog.txt. Przedstaw go.

[kajak]

Witam w  załączniku fixlog. Czy w tym komputerze również będzie wymagane usunięcie punktów przywracania systemu ?

Fixlog.txt

[picasso]

Tak, czyszczenie punktów się wykonuje w sytuacji gdy prowadzono jakieś modyfikacje obejmujące strefy nagrywane w punktach - tu np. Harmonogram zadań.

 

Fix wykonany, skasuj pobrany FRST, następnie znajome kroki końcowe, tzn. DelFix i czyszczenie folderów Przywracania systemu. To tyle z mojej strony.

[kajak]

Dziekuje bardzo  za pomoc. Dellfix zrobiony wykonanałem również czyszczenie punktów przywracania systemów. Jak narazie wszystko wporządku .

 

Temat do zamkniecia:)