Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Natrętne reklamy w nowej karcie, przekierowania

Masiej

Przez Masiej
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Masiej

Masiej

Opublikowano
Opublikowano

Witam,

Mam problem,którego przyczyną być może jest jakiś adware. Problem polega na tym, że podczas przeglądania Internetu po kliknięciu w dowolny obszar na nowo otwartej karcie otwiera się kolejna z reklamą. Z tego co zauważyłem najpierw w pasku adresu pojawia się adres hxxp://www.wonderlandads.com/... lub hxxp://www.liveadexchanger.com/..., a następnie następuje przekierowanie, na naprzykład: stronę bukmachera bet-at-home, rejestrację gry World of Tanks i tak dalej. Problem dotyczy komputera PC jak i smartfona podłączonego przez Wi-Fi pod tą samą sieć co komputer PC (PC podłączony jest kablem). W smartfonie występują podobne objawy – po wejściu na jakąś stronę i próbę przewinięcia jej w celu, np. kontynuacji czytania zostaję przekierowany przez hxxp://www.wonderlandads.com/ na jakieś reklamy. Co dzwine, laptop podłączony pod tą sieć Wi-Fi działa bez zarzutu.

Swój problem próbowałem rozwiązać za pomocą programów:

- ADWCleaner

- CCleaner

- Malwarebytes Anti-Malware

- Spyhunter

Używałem Combofix z polecenia znajomego, ale również nie poradził sobie, a według wskazówek również dodaję log z tego programu. Link do loga: http://wklej.to/H8gX2

 

Żaden nie poradził sobie z tym syfem. Próbowałem również skanować komputer tymi programami w trybie awaryjnym.

 

Chciałbym dodać, że zastanawiają mnie DNS w panelu routera. Mianowicie nie są to DNS Googlowskie (8.8.8.8 / 8.8.4.4) tylko takie jakie widnieją na obrazku niżej.

ZlesyYu.png

 

W załącznikach dodaję logi ze skanów FRST i GMER.

 

Podczas skanu GMER miałem problem i wyskoczyły dwa okna z błędami, które przedstawiam niżej, a sam skan trwał krótką chwilkę.

Kolejno:

pUSttvr.png

5j38Kps.png

FRST.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

SpyHunter to skaner naciągacz - z daleka od tego świństwa. Widzę następujące rzeczy: szkodliwy wpis "svchost" w starcie oraz zmodyfikowane serwery DNS routera. Poniższe IP nie jest polskie: KLIK. IP pod którym Cię widzę na forum wskazuje, że masz internet z Netia, więc widoczny tu IP w routerze kompletnie z innej bajki.

 

Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8

 

Wprawdzie niby bieżące adresy DNS ustawione spod Windows biorące precedens nad w/w są Googlowskie, ale nie zmienia to faktu że router jest zainfekowany. Infekcji routera nie da się usunąć żadnymi narzędziami / skanerami, musi być rekonfiguraja bezpośrednia routera.

 

 

Działania do przeprowadzenia:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /s
HKU\S-1-5-21-1508335669-1683227341-126213794-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-1508335669-1683227341-126213794-1000\...\Run: [svchost.exe] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-20] (Microsoft Corporation)
BootExecute: autocheck autochk * sh4native Sh4Removalsdnclean64.exe
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1508335669-1683227341-126213794-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1508335669-1683227341-126213794-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
C:\Program Files (x86)\Enigma Software Group
C:\Program Files (x86)\Temp
C:\ProgramData\*.*
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waterfox.lnk
C:\Users\Maciek\Desktop\SpyHunter4.lnk
C:\Users\Maciek\Desktop\spyhunterS4.exe
C:\Users\Maciek\Downloads\S_yH_nter 4
C:\Users\Maciek\Downloads\S_yH_nter 4.rar
C:\Users\Maciek\Downloads\SpyHunter 4.17.6.4336
C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Windows\system32\Drivers\EsgScanner.sys
C:\Windows\System32\Tasks\Safer-Networking
C:\Windows\SysWOW64\sh4native.exe
File: C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa oraz jaki model routera konkretnie posiadasz.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

O dziwo, od wczoraj wieczorem, na komputerze PC przestały się otwierać karty z reklamami jednak na komórce dalej miałem ten problem.

vs.

 

Wprawdzie niby bieżące adresy DNS ustawione spod Windows biorące precedens nad w/w są Googlowskie, ale nie zmienia to faktu że router jest zainfekowany. Infekcji routera nie da się usunąć żadnymi narzędziami / skanerami, musi być rekonfiguraja bezpośrednia routera.

Ustawiłeś ręcznie w Windows DNS strony użytkownika, dlatego reklamy ustały tylko w Windows, ale zaznaczyłam wyraźnie, że źródłem jest router i każde urządzenie podpinane w Twoją sieć byłoby natychmiast infekowane. Dokładnie tak jak z telefonem.

 

 

Wszystko zrobione, adresy DNS pobierane z routera już poprawne. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

DelFix wykonał zadanie. Skasuj z dysku plikC:\delfix.txt.

 

 

Mam jeszcze pytania: ten syf już nie powinien wrócić? jak się chronić przed takimi rzeczami?

Problemem był niezabezpieczony router. Po to podawałam to:

 

Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

(...)

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK.

I po też była aktualizacja firmware, która powinna zamknąć lukę związaną z panelem zarządzania, ale upewnij się, że jest skonfigurowane jak podałam. I założyłam, że zmieniłeś login, bo domyślny nie może zostać (jest powszechnie znany).

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...