Tobin Opublikowano 9 Maja 2016 Zgłoś Udostępnij Opublikowano 9 Maja 2016 Od kilku dni, krótko po zmianie routera (mamy z sąsiadem neostradę) Opera zaczęła przekierowywać mnie na inne strony (reklamy, xttaff, goac i inne "cuda- wianki"). Po włączeniu drugiej przeglądarki IE, z której praktycznie nie korzystam, nastąpiło przekierowanie na strony porno. Kasperski IS nic nie znalazł, Malwarebytes i AdwCleaner też nic. Czyszczenie pamięci w Operze nie pomaga. FRST oprócz raportów wyświetlił w trakcie skanowania komunikat: # this file has been replaced with its default version by Kasperski Lab because of possible infection # # # 127.0.0.1 localhost :: 1 localhost # Start of entries inserted by Spybot- Search & Destroy i tu następuje wymienienie kilkudziesięciu stron. Załączam pliki Addition.txt FRST.txt Shortcut.txt GMER 09 05.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Jest tu infekcja routera a nie w Windows - poniższe adresy IP są angielskie. Nie pomoże tu więc uruchamianie skanów spod Windows, infekcja jest na innym poziomie. Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 A ten komunikat dodatkowy, który Ci się pokazał, jest związany z modyfikacją pliku Hosts pozostawioną po odinstalowanym Spybot Search & Destroy (nie odkręcono immunizacji). Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj stare niebezpieczne wersje: Adobe Shockwave Player, Gadu-Gadu 7.7, J2SE Runtime Environment 5.0 Update 9, Java 6 Update 12. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-602162358-1935655697-1801674531-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-602162358-1935655697-1801674531-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe -update pepperplugin HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKU\S-1-5-21-602162358-1935655697-1801674531-1004 -> {3E313458-ECFC-48CC-8BB1-B2E444FE9CEB} URL = hxxp://search.yahoo.com/search?ei=ISO-8859-1&fr=megaup&q={searchTerms} BHO: Brak nazwy -> {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -> Brak pliku Toolbar: HKLM - Brak nazwy - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Brak pliku Toolbar: HKU\S-1-5-21-602162358-1935655697-1801674531-1004 -> Brak nazwy - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Brak pliku S3 NPF; system32\drivers\NPF.sys [X] U4 RemoteRegistry; Brak ImagePath U0 Winflash; Brak ImagePath DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA! DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaMServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TomTomHOME.exe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Menu Start\Programy\Pity Format 2010 C:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2013 C:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2015 C:\Documents and Settings\All Users\Menu Start\Programy\Premium Booster C:\Documents and Settings\All Users\Menu Start\Programy\UltraVNC C:\Documents and Settings\All Users\Pulpit\PIT Format 2013.lnk C:\Documents and Settings\Dorota\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Dorota\Menu Start\Programy\TomTom C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Premium Booster C:\WINDOWS\system32\Drivers\etc\hosts.*.backup CMD: ipconfig /flushdns CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj model routera. Odnośnik do komentarza
Tobin Opublikowano 15 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2016 Na wstępie bardzo dziękuję za błyskawiczną pomoc. Router znajduje się u sąsiada, który jest nieobecny do końca przyszłego tygodnia, dlatego na razie nie mogę podać modelu. Od żony sąsiada wiem, że przeprowadził zalecone działania. Załączam FRST oraz fixlog.txt (nie wiem czy to istotne, ale po zakończeniu pracy nie nastąpił restart. Wyświetlił się komunikat o błędzie systemu. Uruchomiłam system ponownie). Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Hmmm, ale adresy DNS pobierane z routera nadal te same co poprzednio: Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 Problem jest pozornie rozwiązany (i prawdopodobnie ustały u Ciebie przekierowania), bo widać że jednocześnie ustawiłaś serwery Google w konfiguracji Windows. One owszem biorą precedens nad wpisami z routera, co nie zmienia faktu że router nadal wygląda na zainfekowany... W kwestii działań pobocznych: Skrypt FRST zatrzymał się na resecie pliku Hosts i nie był w stanie tego wykonać. Przypuszczalnie zablokował zmiany Kaspersky. Poza tym, nie widzę oznak, by zostały odinstalowane stare programy, co najmniej niebezpieczna Java 6 nadal widziana w logu. Ponowienie nie wykonanych akcji: 1. Odinstaluj programy, które wskazałam. 2. Wyłącz osłony Kasperskiego na czas tej operacji. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 NPF; system32\drivers\NPF.sys [X] Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Tobin Opublikowano 16 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2016 Racja z tymi adresami DNS. Nic tu więcej nie zdziałam, bo na razie nie mam dostępu do routera. Odinstalowałam Javę 6 korzystając z panelu sterowania (wcześniej usuwałam przy pomocy CCleanera), mimo to 6 cały czas jest wykazywana w skrypcie FRST (chociaż CCleaner nie wykazuje tego programu). W załączniku fixlog.txt oraz FRST. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Tym razem skrypt FRST dokończył zaległą robotę. Zostały wpisy po odinstalowanej Java. Poprawki: Otwórz Notatnik i wklej w nim: HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [596504 2016-04-01] (Oracle Corporation) BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\Java 2 C:\Program Files\Common Files\Java C:\Documents and Settings\All Users\Dane aplikacji\Oracle C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\Dorota\.oracle_jre_usage C:\Documents and Settings\Dorota\Dane aplikacji\Oracle C:\WINDOWS\system32\javacpl.cpl C:\WINDOWS\system32\WindowsAccessBridge.dll Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Tobin Opublikowano 17 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2016 Poprawki wykonane. W załączniku pliki. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Maja 2016 Zgłoś Udostępnij Opublikowano 18 Maja 2016 Fix pomyślnie wykonany. Na wszelki wypadek jeszcze sprawdźmy czy te wpisy DNS pobrane z routera po usunięciu z rejestru wrócą. 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Zrób nowy log FRST, bez Addition i Shortcut. Odnośnik do komentarza
Tobin Opublikowano 18 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2016 Zgodnie z zaleceniem przesyłam pliki. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Maja 2016 Zgłoś Udostępnij Opublikowano 18 Maja 2016 Niestety zgodnie z przypuszczeniem te wpisy wracają z routera, więc sprawa routera to już do rozwiązania potem, gdy sąsiad wróci. Być może trzeba będzie wykonać też aktualizację firmware urządzenia. A czyszczenie Twojego systemu skończyłyśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Tobin Opublikowano 18 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2016 Dziękuję bardzo za bardzo fachową pomoc i dorzucam się do forumowej skarbonki. Pozdrawiam serdecznie Odnośnik do komentarza
picasso Opublikowano 19 Maja 2016 Zgłoś Udostępnij Opublikowano 19 Maja 2016 Wielkie dzięki za ewentualne dorzucenie do skarbonki. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi