Mojrzeszek Opublikowano 6 Lipca 2016 Zgłoś Udostępnij Opublikowano 6 Lipca 2016 Witam Od pewnego czasu borykam się (ja oraz inni użtkownicy łącza, z którego korzystam) z pewnym problemem. Mianowicie na różnych stronach, gdziekolwiek kliknę zostaję przekierowany na stronę wonderlandads oraz inne z reklamami. Dziś zakupiłem nowy router (ze wzgledu na wiek poprzedniego) ale problem nie ustał. Wszystko dzieje się na laptopie, komputerze, telefonach gdy tylko podłączą się pod sieć bezprzewodową. Sieć jest (choć wcześniej nie była) zabezpieczona hasłem, również hasło dostępowe do konfiguracji zmienione. Dodam, że telefon jest też zainfekowany przy sieci Play'a, co mnie skrajnie irytuje, gdyż myślałem, że to tylko kwestia Wi-fi. Chciałbym prosić o pomoc za, którą z góry dziękuję. Tu podsyłam wszystkie skany i model routera. TP-LINK TD-W8960N V6 0x00000001 Wersja Firmware 1.1.1 Build 150716 Rel.55074 Jeśli ktoś jest w stanie pomóc mi pozbyć się tego ustrojstwa z moich sprzętów byłbym wdzięczny niesamowicie. Pozdrawiam FRST.txt Shortcut.txt Addition.txt scan.txt Odnośnik do komentarza
jessica Opublikowano 7 Lipca 2016 Zgłoś Udostępnij Opublikowano 7 Lipca 2016 Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION SearchScopes: HKLM-x32 -> {F1087E11-0F95-4D5C-B5F2-BC1DF5C5F6D0} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-575411724-1307231427-2836151415-1002 -> {F1087E11-0F95-4D5C-B5F2-BC1DF5C5F6D0} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-575411724-1307231427-2836151415-1002 -> {F7B5B76B-1F3D-401C-96D7-3B43AA21931B} URL = hxxps://uk.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default FF DefaultSearchEngine,S: WebSearch FF SearchEngineOrder.1: WebSearch FF SearchEngineOrder.1,S: WebSearch FF SelectedSearchEngine,S: WebSearch S1 fvypgemp; \??\C:\Windows\system32\drivers\fvypgemp.sys [X] S3 GENERICDRV; \??\C:\Users\ADMINI~1\AppData\Local\Temp\pftAF85.tmp\amifldrv64.sys [X] U3 pgldapod; \??\C:\Users\dawid\AppData\Local\Temp\pgldapod.sys [X] C:\ProgramData\hash.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Program Files (x86)\Elex-tech C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Użyj AdwCleaner. Najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego "C". jessi Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 (edytowane) Wszystko dzieje się na laptopie, komputerze, telefonach gdy tylko podłączą się pod sieć bezprzewodową. Sieć jest (choć wcześniej nie była) zabezpieczona hasłem, również hasło dostępowe do konfiguracji zmienione. Dodam, że telefon jest też zainfekowany przy sieci Play'a, co mnie skrajnie irytuje, gdyż myślałem, że to tylko kwestia Wi-fi. TP-LINK TD-W8960N V6 0x00000001 Istotnie ta infekcja jest infekcją routera. W raportach FRST nie ma jednak śladów rekonfiguracji DNS na tym poziomie. Wspominasz o zmienionym haśle, ale czy również panel zarządzania jest zablokowany? Zabezpiecz router: zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK Skoro wymiana routera nie załatwiła sprawy przekierowań, problem przypuszczalnie generuje któreś cache (bufor DNS i/lub cache przeglądarek). Podany powyżej skrypt do FRST dedykuje tylko jedno z miejsc (EmptyTemp:), co prawdopodobnie nie załatwi sprawy. Trzeba dodać jeszcze komendę czyszczenia bufora DNS ipconfig /flushdns. To jednak dotyczy tylko i wyłącznie komputera z Windows. Na telefonach trzeba już ręcznie zresetować ustawienia i cache, co może się sprowadzać do resetu urządzeń do ustawień fabrycznych. Czyli zamiast podanych powyżej instrukcji: 1. Konkretnie wyczyść Firefox z preferencji adware (czyszczenie dokładniejsze niż przetwarzanie tylko widocznych w raporcie FRST linii): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Po tym dla świętego spokoju możesz jeszcze uruchomić podany AdwCleaner. 2. Skrypt do FRST o innej postaci: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-575411724-1307231427-2836151415-1002 -> {F7B5B76B-1F3D-401C-96D7-3B43AA21931B} URL = hxxps://uk.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default S1 fvypgemp; \??\C:\Windows\system32\drivers\fvypgemp.sys [X] S3 GENERICDRV; \??\C:\Users\ADMINI~1\AppData\Local\Temp\pftAF85.tmp\amifldrv64.sys [X] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\ProgramData\hash.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC Desktop.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Windows\SendTo\YAC Desktop.lnk C:\Users\Public\Desktop\YAC Desktop.lnk Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Edytowane 11 Sierpnia 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi