Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Przekierowania w routerze tp link Model TD-W8901G

majcherek80

Przez majcherek80
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

majcherek80

majcherek80

Opublikowano
Opublikowano

Witam, mam identyczny problem, proszę o pomoc. Aktualnie router jest zabezpieczony (hasło do wifi  i hasło dostępowe do panelu routera). W ustawieniach karty sieciowej zmieniłem adresy serwerów DNS na : 8.8.8.8 + 8.8.4.4 natomiast w routerze nie udaje mi się tego zrobić. Podaję załączniki z plikami logów po skanowaniach. Z góry dziękuję za wskazówki.

ComboFix.txt

FRST.txt

Shortcut.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Istotnie, ta sama infekcja na poziomie routera:

 

Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8

Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 80.243.191.66 8.8.8.8

 

Prócz tego jest jeszcze adware PriceFountain w Harmonogramie zadań. Na razie jednak:

 

 

W ustawieniach karty sieciowej zmieniłem adresy serwerów DNS na : 8.8.8.8 + 8.8.4.4 natomiast w routerze nie udaje mi się tego zrobić.

Podaj model routera, zapewne wymagana aktualizacja firmware.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Tu się aplikują te same wytyczne co u poprzednika:

 

Z menu pobierania wybierzasz linię V3.

 

2. Po wykonaniu aktualizacji firmware sprawdź ustawienia routera (adresy DNS, zamknięcie panelu zarządzania, zmiana loginu domyślnego). Dopiero po konfiguracji:

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {0A410814-189E-40AA-839D-EB4D120835DF} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Majcher\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: {1C65D3D7-BC42-44BC-8C5F-7E069EB5DDAB} - System32\Tasks\{B7D54985-BD66-4A1D-8D82-665263289CF8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.21.0.100&LastError=12007
Task: {8E5077BD-A4D0-4A2F-BE63-94D5B72656FC} - System32\Tasks\Driver Booster SkipUAC (Majcher) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {FA5DBC41-22C0-4F43-818C-AD18F5269266} - System32\Tasks\MajcherSynaesthesiaLabellerV2 => Rundll32.exe OlivesGravimeter.dll,main 7 1 
CustomCLSID: HKU\S-1-5-21-301250439-727020004-3162265004-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Majcher\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-301250439-727020004-3162265004-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-301250439-727020004-3162265004-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
S3 SBIOSIO; \??\C:\Users\Majcher\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\IObit
RemoveDirectory: C:\Users\Majcher\AppData\Local\GG
RemoveDirectory: C:\Users\Majcher\AppData\Roaming\GG
C:\Users\Majcher\AppData\Roaming\*.*
C:\Users\Majcher\Desktop\GG dysk.lnk
C:\Windows\system32\config\*.iobit
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
majcherek80

majcherek80

Opublikowano
  • Autor
Opublikowano

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Witam ponownie, zrobiłem wedle instrukcji: załączam frst i fixlog.

FRST.txt

Fixlog.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jak rozumiem, aktualizacja firmware przebiegła pomyślnie i wszytko też gładko skonfigurowałeś. Obecnie w raporcie FRST są wszędzie poprawne serwery DNS:

 

Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4

Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [NameServer] 8.8.8.8,8.8.4.4

Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 8.8.8.8 8.8.4.4

Tcpip\..\Interfaces\{1E2A1F11-4A03-426F-8F5A-14DBD02B07CA}: [NameServer] 194.204.159.1 194.204.152.34

Tcpip\..\Interfaces\{5FC89302-4032-4B59-8CDB-A1DA9A751B5F}: [DhcpNameServer] 8.8.8.8 8.8.4.4

 

Pozostałe akcje też OK. Jako że były tu też odpadki adware, poproszę jeszcze o wykonanie tego:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza
majcherek80

majcherek80

Opublikowano
  • Autor
Opublikowano

Sama aktualizacja przebiegła sprawnie, ale zaraz po jej przeprowadzeniu nie miałem dostępu do internetu. W skrócie: posiadam neostradę w orange. w routerze wpisane były parametry 1. virtual circuit: pvc0, vpi: 1, vci 32. I na tych parametrach internet działał. Owszem ostatnio czasem lepiej, a czasem gorzej. Te ustawienia trochę mnie dziwiły, bo według mnie powinny być: vpi: 0, vci: 35. A dzisiaj po aktualizacji firmware routera internet zaczął działać dopiero po wpisaniu 0 i 35. No ale to na marginesie. Załączam log z adwcleaner. Bardzo dziękuję za pomoc. Postaram się o dotację :)

AdwCleanerS1.txt

Odnośnik do komentarza
majcherek80

majcherek80

Opublikowano
  • Autor
Opublikowano

Witam, ponownie mam problem ze zmianą adresów DNS w routerze.

Wcześniejszy problem został rozwiązany --->https://www.fixitpc.pl/topic/29998-przekierowania-na-routerze/,

ale właśnie pojawił się kolejny praktycznie identyczny. Pierwszy adres DNS zmienił się z 8.8.8.8 na 91.205.74.25 a drugi z 8.8.4.4 na 8.8.8.8. W windows, w ustawieniach karty sieciowej wpisane są adresy DNS 8.8.8.8 + 8.8.4.4. Aktualnie przekierowuje otwierane strony w komórkach korzystających z sieci wifi (przekierowania na strony typu "masz wirusa", "twój smartfon został zainfekowany" itd), natomiast na laptopie nie zauważyłem przekierowań. Sieć jest zabezpieczona (dostęp do panelu routera i wifi). Natomiast nazwa sieci SSID nie została przeze mnie zmieniona (nie wiem czy to ma znaczenie) Na cert.orange sprawdziłem i wynik jest: "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu." Adresów DNS w routerze nie mogę zmienić. Dlaczego tak się dzieje? Tylko ja znam hasło do panelu routera. Aktualizacja firmware została wykonana, chociaż mam wrażenie, że firmware routera był już aktualny wcześniej. Proszę o pomoc. Załączam logi.

Router TP Link 54 Mbps Wireless G ADSL2+ Model TD-W8901G Ver. 3.5

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tematy łączę razem.

Tcpip\Parameters: [DhcpNameServer] 91.205.74.25 8.8.8.8
Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 91.205.74.25 8.8.8.8

Niewiele już chyba mogę tu poradzić, skoro aktualizacja firmware i konfiguracja wg wytycznych są mało skuteczne. Jako ostatni krok zresetuj router do ustawień fabrycznych posługując się przyciskiem na obudowie. Po resecie wejdź do konfiguracji i zmień hasło na inne niż poprzednio używane, upewnij się też że dostęp od strony internetu jest zamknięty. Jeśli pomimo tych działań nadal router będzie przejmowany przez infekcję, zostaje bezpośredni kontakt z producentem sprzętu i/lub wymiana routera na bezpieczniejszy model.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

sphere, to właśnie już miało być zrobione:

 

Po wykonaniu aktualizacji firmware sprawdź ustawienia routera (adresy DNS, zamknięcie panelu zarządzania, zmiana loginu domyślnego).

vs.

 

Na cert.orange sprawdziłem i wynik jest: "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu."

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...