Reklamy i przekierowywania na inne strony

[fafik]

Witajcie

 

Jak w temacie. Właściciel laptopa ma problem z przekierowaniami i reklamami w Firefoxie.

Niestety nie jestem w stanie podać na jakie strony przekierowuje, ponieważ nic takiego nie widzę.

 

Dla "świętego spokoju" postanowiłem, że poproszę Was o pomoc.

 

Windows 10 Home 64 bit

 

Pozdrawiam

FRST.txt

Addition.txt

Gmer.txt

Shortcut.txt

[picasso]

Jak w temacie. Właściciel laptopa ma problem z przekierowaniami i reklamami w Firefoxie.

Niestety nie jestem w stanie podać na jakie strony przekierowuje, ponieważ nic takiego nie widzę.

Są tu oznaki infekcji routera - poniższy adres jest izraelski. Możesz nie widzieć przekierowań z dwóch przyczyn: komputer działa obecnie z poziomu Twojej niezainfekowanej sieci (inny router) + ktoś już ustawił statyczne DNS Google z poziomu Windows ("przebijają" te pobierane z routera). Właściciel musi rzecz jasna czyścić swój router, nie jesteś tego w stanie zrobić za niego z poziomu Windows.

 

Tcpip\..\Interfaces\{2befaa59-b503-41a5-b440-dbe37f5150d1}: [DhcpNameServer] 82.163.142.7

Tcpip\..\Interfaces\{2c61f513-5bf8-43de-ae23-6e95e8d38452}: [DhcpNameServer] 82.163.142.7

Tcpip\..\Interfaces\{97517553-d50d-4c34-af9e-feb4b699f5e4}: [DhcpNameServer] 82.163.142.7

 

 

1. Jeśli ma dostęp do routera, należy się zalogować do niego i wykonać następujące kroki konfiguracyjne:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Czyszczenie bufora DNS oraz działania poboczne. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: ipconfig /flushdns
S3 DrvAgent64; \??\C:\WINDOWS\SysWOW64\Drivers\DrvAgent64.SYS [X]
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-2779230792-305716697-1430175923-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-2779230792-305716697-1430175923-1001\...\webcompanion.com -> hxxp://webcompanion.com
Task: {47B44C56-D165-49F5-91FB-EBD84CFE7623} - System32\Tasks\Norton 360\Norton Autofix => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe
Task: {836ABB64-4959-4FCA-83C2-2A3E97E4D408} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe
Task: {92A3839B-5D2C-4707-84E8-2B652908F0F9} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton 360
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Web Companion" /f
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Users\Irek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DriverAgent Plus.lnk
C:\Windows\System32\Tasks\Norton 360
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[fafik]

Picasso,

 

Po Twojej odpowiedzi dowiedziałem się, że laptop podobnie zachowywał się w dwóch różnych miejscach. Ja naocznie tego nie widzę.

Nic mnie nie przekierowywało i nic się nie dzieję. Nie ma także reklam.

 

Na chwilę obecną (logi itd.), komputer podłączony jest pod zupełnie inny router. Dopiero za kilka dni będę miał okazję

sprawdzić ten właściwy. Mam nadzieję, że uda mi się do niego zalogować.

 

Poza tym, w czasie robienia loga przez Gmer, a także podczas kilkugodzinnej "wolnej pracy" laptopa zauważyłem, że Norton "wyrzucił"

informację na pulpit: Żądanie zabezpieczeń.

Poniżej informacja:

W tym systemie wykryto dużą liczbę przypadków podejrzanego wychodzącego ruchu sieciowego.

Komputer może być zainfekowany zagrożeniem możliwym do usunięcia przez program Norton Power Eraser.

To samo miało miejsce po wykonaniu fix-a i restarcie.

 

Pozdrawiam

Fixlog.txt

[picasso]

Na chwilę obecną (logi itd.), komputer podłączony jest pod zupełnie inny router. Dopiero za kilka dni będę miał okazję

sprawdzić ten właściwy. Mam nadzieję, że uda mi się do niego zalogować.

Ten Fix FRST (a konkretnie komenda ipconfig /flushdns) to miał być wykonany dopiero po czyszczeniu właściwego routera siedząc dokładnie w środowisku w którym występowały reklamy. W razie czego będzie do powtórzenia ta konkretna linia ze skryptu.

 

 

W tym systemie wykryto dużą liczbę przypadków podejrzanego wychodzącego ruchu sieciowego.

Nie wiem do czego to podpiąć. Ja nie widzę żadnego aktywnego malware w raportach, poza już zakreślonymi adresami DNS.

[fafik]

Wszystko zrobione. Router, który sprawdzałem, miał wszystko ustawione poprawnie. Więc to nie był ten.

Komenda jeszcze raz zastosowana. Przeglądanie stron bez przekierowań i reklam.

 

Dzięki

[picasso]

1. Jeśli w raporcie FRST nadal stoją uprzednio wyliczane adesy IP, to w tym przypadku należy je usunąć za pomocą skryptu FRST o następującej treści:

 

Tcpip\..\Interfaces\{2befaa59-b503-41a5-b440-dbe37f5150d1}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{2c61f513-5bf8-43de-ae23-6e95e8d38452}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{97517553-d50d-4c34-af9e-feb4b699f5e4}: [DhcpNameServer] 82.163.142.7

 

2. Na koniec usuń z Pulpitu folder frst (o ile już tego nie zrobiłeś) oraz zastosuj DelFix.