Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Prawdopodobna infekcja komputera - objaw - brak opisu aukcji na allegro

Enwy

Przez Enwy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Enwy

Enwy

Opublikowano
Opublikowano

Witam, 

mam problem z wyświetleniem wszystkich aukcji na allegro. Opis, zdjęcia itp. elementy opiu wyświetlają się dosłownie na 1 sekundę, a następnie znikają, a w ich miejsce pojawiają się przeróżne reklamy. Narazie jest to jedyny objaw prawdopodobnej infekcji. Używam adblocka więc myślałem, że coś jest nie tak z allegro (gdy addblock jest włączony nie pojawiają się reklamy ale cała aukcja jest pusta (brak opisu)). Spróbowałem przeskanować komputer Malwarebytes Anti-Malware ale nic nie zostało wykryte. Pozdrawiam i z góry dziękuję za pomoc.

Shortcut.txt

FRST.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Problemem jest infekcja routera, zamalowany adres IP jest holenderski:

 

Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8

 

Działania do przeprowadzenia:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dodatkowe działania poboczne:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: ipconfig /flushdns
Task: {161E0C07-2573-4EE5-9190-380AED446106} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {18C7A009-1FAD-4328-A534-C5D3FDFE9EDC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {32C9A5D6-9044-4883-AC00-92B87D06264E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe
Task: {36C47DF0-A8A3-4ED8-AA10-F6B5FE9168AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {588E231A-AF8B-4DFE-AFEC-86DA6CEDA7EF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {64B17A55-0C02-4115-A328-9F538AB20D81} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {68D6C696-E44A-425F-B26A-DA452F95789D} - \WPD\SqmUpload_S-1-5-21-1941264818-4225413360-4045777747-1001 -> Brak pliku 
Task: {762BCE78-A565-4405-A04C-2143B730894F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {79BFA46C-16C8-459B-8579-7774D3205E76} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {887F04EA-EB16-4D21-A5B8-669BF7FFB30A} - System32\Tasks\{B454B5BC-3903-462B-9A58-1148F1F4BDE5} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Users\Adam\Desktop\DWG\Nowy folder" -c "C:\Users\Adam\Desktop\DWG\Nowy folder\Teren hali.dwg"
Task: {9750A906-F754-4F2F-8750-B4433F6A8BC9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {D01E78BC-9F19-4186-9693-25F9856CD511} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {EA73656B-1334-47F6-B033-984DABAAD21B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {F966FAAA-CA74-4048-8DF3-89E24B9AF41C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku
ShellIconOverlayIdentifiers: [uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku
HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Policies\Explorer: []
HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Run: [CCleaner Monitoring] => "C:\Windows.old\Program Files\CCleaner\CCleaner64.exe" /MONITOR
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Raptr /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Raptr /f
C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Dodaj ploter.lnk
C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk
C:\Users\Adam\Desktop\Programy\CCleaner.lnk
C:\Users\Adam\Desktop\Programy\Registry Life.lnk
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mam nadzieję, że dobrze wszystko zrobiłem, ustawienia dns zmieniłem przez połączenia sieciowe - właściwości połączenia - protokół internetowy w wersji 4 (TCP/IPv4). Nie za bardzo wiem gdzie to zmienić w routerze po zalogowaniu.

Skutki w logu:

 

Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8

Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [NameServer] 8.8.8.8,8.8.4.4

Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [DhcpNameServer] 5.39.220.125 8.8.8.8

 

To nie są te serwery DNS o które tu chodziło, dlatego nie podawałam tych instrukcji. Zedytowałeś serwery DNS Windows (NameServer) a nie routera (DhcpNameServer). Owszem, one "przebijają" te z routera, co nie zmienia faktu, że router jest nadal zainfekowany i cokolwiek wepniesz w sieć pod jego kontrolą (np. laptop, telefon, etc.) zostanie natychmiast zainfekowane. Bezpośrednia edycja rejestru tu odpada, DhcpNameServer jest aktualizowane z routera i wartość nie utrzyma się. Podaj z jakim modelem routera mamy do czynienia.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Fix FRST nie miał być powtarzany, to jest skrypt jednorazowego użytku i przestaje być aktualny po użyciu (nie przetworzy ponownie tego co już usunął). Natomiast akcja z routerem poprawnie wykonana, w świeżym logu FRST widać, że DhcpNameServer zostało pomyślnie zaktualizowane z routera. Wszystko zrobione, kończymy:

 

Zastosuj DelFix, wyczyść foldery Przywracania systemu, dodatkowo zaktualizuj programy Adobe AIR + Adobe Flash Player 22 NPAPI. Wszystko tu: KLIK.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Widze tylko że przy logowaniu do routera w zakładce status podany jest

DNS Server: 5.39.220.125 , 8.8.8.8

Wejdź ponownie do ustawień DHCP i sprawdź czy infekcja nie wróciła w ustawieniach DNS... Poza tym, zapomniałam podkreślić, że dane logowania do routera też należy zmienić, w przeciwnym wypadku przy domyślnym loginie infekcja po prostu będzie wracać. Wykonałeś to?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...