ratu Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Problemem są reklamy w przeglądarkach, zwłaszcza w Chrome - najczęściej jest to DNS Unlocker, oraz reklamy wyświetlane w nowej karcie. Usuwałem wcześniej AdwCleanerem. Malwarebytes i innymi narzędziami, ale reklamy stale wracają. Proszę o pomoc Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2015 Zgłoś Udostępnij Opublikowano 15 Grudnia 2015 Czy na pewno problem nadal występuje? W raportach nie ma żadnych śladów tej infekcji "DNS Unlocker" (brak modyfikacji serwerów DNS, brak zadań w Harmonogramie oraz innych elementów). I poproszę o dostarczenie logów z już używanych narzędzi, czyli raporty z katalogu C:\AdwCleaner oraz plik C:\ComboFix.txt. Odnośnik do komentarza
ratu Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Niestety reklamy pojawiają się nadal. Nie jestem pewny czy to jest DNS Unlocker - choć na okienkach jest ten napis. Usuwałem, sprawdzałem wieloma programami, ostatecznie nic nie znajdują, a reklamy wracają. W AdwCleaner jest tylko ślad reklam. Może problemem jest router (Funbox od Orange) - ale hasło ma zmienione, dns też wyglądają na prawidłowe. Dodam, że problem jest w całej sieci lokalnej - na innych komputerach pojawiają się reklamy. AdwCleaner.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Może problemem jest router (Funbox od Orange) - ale hasło ma zmienione, dns też wyglądają na prawidłowe. To już sprawdzałam. Adresy DNS pobierane z routera zdają się być prawidłowe (Orange): Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 Dodam, że problem jest w całej sieci lokalnej - na innych komputerach pojawiają się reklamy. W związku z powyższym zostaje kontakt z dostawcą sieciowym i zgłoszenie mu problemu infekcji sieciowej. Odnośnik do komentarza
ratu Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Zgłaszałem do Certu w Orange, niestety nie widzą problemu -odpisali, że raczej nic się nie powinno przenosić w warstwie sieciowej. Dodam, że za Funboxem mamy w sieci Drayteka Vigor 2912n, ale tam też hasło zmienione, DNS prawidłowe. Jakieś nowe pomysły, może te ślady z "bestpriceninja" w adcleaner? Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Skoro problem występuje we wszystkich komputerach sieci, to chodzi o któreś urządzenie sieciowe rozdzielające ruch i nie ma czego szukać w lokalnych ustawieniach systemu. Te wyniki w AdwCleaner są bez znaczenia, to tylko skutek przekierowań a nie ich przyczyna. To są rekordy z HTML5 Local Storage (rodzaj podobny do cookies / cache), tzn. otworzona została reklama > Chrome zapisało dane witryny > dane te nie powodują przekierowań. Skoro DNS są poprawne w obu sprawdzanych urządzeniach, to jeszcze posprawdzaj inne adresy IP w konfiguracji urządzeń. Odnośnik do komentarza
ratu Opublikowano 17 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Poszukiwań ciąg dalszy. Reklamy chyba są powiązane z gogle-analytics pojawiają się gdy dns źle rozpoznają stronę, zamiast strony od googla idzie 199.203.131.130. To adres z Izraela. Ale jak się to zmienia, podmienia to nie wiem? Wszystko co mogłem znaleźć to sprawdziłem. Jakby przez jakiś moment chodziło na innym dns Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Nie mam danych na temat konfiguracji i zabezpieczeń sieci, więc trudno mi powiedzieć o co chodzi. Ale tu na pewno są objawy infekcji DNS. Gdyby nie to, że jest więcej niż jeden komputer zachowujący się w ten sposób, obstawiałabym cache lokalnego komputera (bufor DNS oraz cache przeglądarki). Ostatecznie mógłbyś spróbować na tym komputerze czy coś pomoże właśnie przeczyszczenie tych miesc (przy okazji pozostałe drobne korekty, w tym usunięcie szczątków po odinstalowanym FF): Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 DgiVecp; System32\Drivers\DgiVecp.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\...\Run: [VIAxHCUtl] => C:\VIA_XHCI\usb3Monitor.exe HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-460053187-810554011-2524304945-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-460053187-810554011-2524304945-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-460053187-810554011-2524304945-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\User\AppData\Local\Mozilla RemoveDirectory: C:\Users\User\AppData\Roaming\Mozilla RemoveDirectory: C:\Qoobox RemoveDirectory: C:\zoek RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Nauczyciel\AppData\Roaming\Microsoft\Word\SPR304865601799611001\SPR.docx.lnk" CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy jest jakaś zmiana. Odnośnik do komentarza
ratu Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Na ten moment brak reklam - ale pracuję bez Chrome w którym było najgorzej. Ale już kilka razy nie było reklam przez kilka godzin, a nawet dni. Potem jednak wracały Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Omyłkowo wstawiłam katalog C:\ProgramData\Kaspersky Lab do usunięcia, ale na szczęście aktywny Kaspersky to zablokował i nic się z katalogiem nie stało. A reszta Fixa wykonana. I ja tu raczej nic więcej nie wymyślę. Są oznaki infekcji sieciowej DNS dziedziczonej przez inne komputery tej sieci. Czyli problemem może być któreś urządzenie na trasie rozdzielania / serwer ("zatruwanie DNS"). Nie ma tu szczegółowych danych na temat konfiguracji serwera i urządzeń. Odnośnik do komentarza
ratu Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Reklamy wróciły, skoncentrowałem poszukiwania na "podmienionym DNS". Znalazłem w sieci to: https://thecomputerperson.wordpress.com/2015/08/19/the-mystery-of-82-163-143-172-and-82-163-142-174/ Zablokowałem podejrzany adres ip na routerze i będę kontynuował obserwacje. Dawno czegoś takiego nie widziałem Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2015 Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Poszukiwań ciąg dalszy. Reklamy chyba są powiązane z gogle-analytics pojawiają się gdy dns źle rozpoznają stronę, zamiast strony od googla idzie 199.203.131.130. To adres z Izraela. Ale jak się to zmienia, podmienia to nie wiem? Wszystko co mogłem znaleźć to sprawdziłem. Jakby przez jakiś moment chodziło na innym dns vs. Reklamy wróciły, skoncentrowałem poszukiwania na "podmienionym DNS". Znalazłem w sieci to: https://thecomputerperson.wordpress.com/2015/08/19/the-mystery-of-82-163-143-172-and-82-163-142-174/ Zablokowałem podejrzany adres ip na routerze i będę kontynuował obserwacje. Czy dobrze rozumiem, że zablokowałeś ten zakolorowany adres (właściwy) a nie te z artykułu (nie liczą się)? To stary artykuł sprzed kilku miesięcy, DNS Unlocker zmienia adresy IP. Nawiasem mówiąc to adresy DNS Unlocker są widoczne w raportach FRST użytkowników - zmodyfikowane serwery strony Windows (NameServer) a nie routera (DhcpNameServer). Przykładowy temat z forum: KLIK. Przypominam, że u Ciebie w logu nie ma oznak w/w infekcji. Są serwery strony Windows od Google, a serwery pobierane z routera od Orange. Przy czym serwery strony Windows biorą precedens nad tymi z routera i Twoje bieżące to adresy Google (widać to w FRST Addition). Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 Problem jest w całej sieci, więc przyczyna leży poza Twoim komputerem. Jeszcze tak zapytam czy nie macie w tej sieci włączonego jakiegoś buforowania stron / proxy lub czegoś podobnego co ewentualnie ładowałoby stare zapamiętane dane przy problemach z rozwiązywaniem hosta? Odnośnik do komentarza
ratu Opublikowano 18 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2015 Zablokowałem oczywiście 199.203.131.130, na ten moment to pomogło. Z proxy nie korzystamy, być może coś przechowuje Draytek Vigor 2912n, który routuje za Funboxem. Ciekawy efekt (przed zablokowaniem)dawał ping dla google-analytics.com. Raz rozwiązywał adres prawidłowo, by za chwilę mieć podmieniony Odnośnik do komentarza
Rekomendowane odpowiedzi