Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Prawdopodobna infekcja komputera - objaw - brak opisu aukcji na allegro

Enwy

Przez Enwy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Enwy

Enwy

Opublikowano
Opublikowano

Witam, 

mam problem z wyświetleniem wszystkich aukcji na allegro. Opis, zdjęcia itp. elementy opiu wyświetlają się dosłownie na 1 sekundę, a następnie znikają, a w ich miejsce pojawiają się przeróżne reklamy. Narazie jest to jedyny objaw prawdopodobnej infekcji. Używam adblocka więc myślałem, że coś jest nie tak z allegro (gdy addblock jest włączony nie pojawiają się reklamy ale cała aukcja jest pusta (brak opisu)). Spróbowałem przeskanować komputer Malwarebytes Anti-Malware ale nic nie zostało wykryte. Pozdrawiam i z góry dziękuję za pomoc.

Shortcut.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Problemem jest infekcja routera, zamalowany adres IP jest holenderski:

 

Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8

 

Działania do przeprowadzenia:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dodatkowe działania poboczne:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: ipconfig /flushdns
Task: {161E0C07-2573-4EE5-9190-380AED446106} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {18C7A009-1FAD-4328-A534-C5D3FDFE9EDC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {32C9A5D6-9044-4883-AC00-92B87D06264E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe
Task: {36C47DF0-A8A3-4ED8-AA10-F6B5FE9168AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {588E231A-AF8B-4DFE-AFEC-86DA6CEDA7EF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {64B17A55-0C02-4115-A328-9F538AB20D81} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {68D6C696-E44A-425F-B26A-DA452F95789D} - \WPD\SqmUpload_S-1-5-21-1941264818-4225413360-4045777747-1001 -> Brak pliku 
Task: {762BCE78-A565-4405-A04C-2143B730894F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {79BFA46C-16C8-459B-8579-7774D3205E76} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {887F04EA-EB16-4D21-A5B8-669BF7FFB30A} - System32\Tasks\{B454B5BC-3903-462B-9A58-1148F1F4BDE5} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Users\Adam\Desktop\DWG\Nowy folder" -c "C:\Users\Adam\Desktop\DWG\Nowy folder\Teren hali.dwg"
Task: {9750A906-F754-4F2F-8750-B4433F6A8BC9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {D01E78BC-9F19-4186-9693-25F9856CD511} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {EA73656B-1334-47F6-B033-984DABAAD21B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {F966FAAA-CA74-4048-8DF3-89E24B9AF41C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku
ShellIconOverlayIdentifiers: [uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku
HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Policies\Explorer: []
HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Run: [CCleaner Monitoring] => "C:\Windows.old\Program Files\CCleaner\CCleaner64.exe" /MONITOR
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Raptr /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Raptr /f
C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Dodaj ploter.lnk
C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk
C:\Users\Adam\Desktop\Programy\CCleaner.lnk
C:\Users\Adam\Desktop\Programy\Registry Life.lnk
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Enwy

Enwy

Opublikowano
  • Autor
Opublikowano

Mam nadzieję, że dobrze wszystko zrobiłem, ustawienia dns zmieniłem przez połączenia sieciowe - właściwości połączenia - protokół internetowy w wersji 4 (TCP/IPv4). Nie za bardzo wiem gdzie to zmienić w routerze po zalogowaniu. Objaw ustąpił, ale czekam na potwierdzenie, że teraz logi są ok.

FRST.txtPobieranie informacji ...

Fixlog.txtPobieranie informacji ...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Mam nadzieję, że dobrze wszystko zrobiłem, ustawienia dns zmieniłem przez połączenia sieciowe - właściwości połączenia - protokół internetowy w wersji 4 (TCP/IPv4). Nie za bardzo wiem gdzie to zmienić w routerze po zalogowaniu.

Skutki w logu:

 

Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8

Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [NameServer] 8.8.8.8,8.8.4.4

Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [DhcpNameServer] 5.39.220.125 8.8.8.8

 

To nie są te serwery DNS o które tu chodziło, dlatego nie podawałam tych instrukcji. Zedytowałeś serwery DNS Windows (NameServer) a nie routera (DhcpNameServer). Owszem, one "przebijają" te z routera, co nie zmienia faktu, że router jest nadal zainfekowany i cokolwiek wepniesz w sieć pod jego kontrolą (np. laptop, telefon, etc.) zostanie natychmiast zainfekowane. Bezpośrednia edycja rejestru tu odpada, DhcpNameServer jest aktualizowane z routera i wartość nie utrzyma się. Podaj z jakim modelem routera mamy do czynienia.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Fix FRST nie miał być powtarzany, to jest skrypt jednorazowego użytku i przestaje być aktualny po użyciu (nie przetworzy ponownie tego co już usunął). Natomiast akcja z routerem poprawnie wykonana, w świeżym logu FRST widać, że DhcpNameServer zostało pomyślnie zaktualizowane z routera. Wszystko zrobione, kończymy:

 

Zastosuj DelFix, wyczyść foldery Przywracania systemu, dodatkowo zaktualizuj programy Adobe AIR + Adobe Flash Player 22 NPAPI. Wszystko tu: KLIK.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Widze tylko że przy logowaniu do routera w zakładce status podany jest

DNS Server: 5.39.220.125 , 8.8.8.8

Wejdź ponownie do ustawień DHCP i sprawdź czy infekcja nie wróciła w ustawieniach DNS... Poza tym, zapomniałam podkreślić, że dane logowania do routera też należy zmienić, w przeciwnym wypadku przy domyślnym loginie infekcja po prostu będzie wracać. Wykonałeś to?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...