Zainfekowany router.

[kolbe11]

Witam,

 

Całkiem niedawno na powrót nawiedziła mnie infekcja routera, będzie to prawdopodobnie Win32/Sality. Na początku pozmieniałem po prostu DNS-y, korzystałem przy okazji z programu QuickSetDNS i nie było problemu aż do dzisiaj. Nie pomaga ani reset routera, ani zmiana DNS-ów. Przeskanowałem system Anti-Malwer ale nie dał żadnego wyniku. AdwCleaner 5 wpisów w rejestrze. Już raz miałem ten problem z tym że tym razem nie śmigałem po żadnych podejrzanych stronach, po prostu jednego dnia się pojawiło:

 

https://www.fixitpc.pl/topic/23016-outdated-browser-detected/

 

 

 

Addition.txt

AdwCleanerLog.txt

FRST.txt

GMER.txt

Shortcut.txt

[jessica]

nawiedziła mnie infekcja routera, będzie to prawdopodobnie Win32/Sality

 

skąd ten pomysł?

w logach nic nie wskazuje na istnienie SALITY.

ani na infekcję routera

 

Otwórz Notatnik i wklej w nim:

 

 

Task: {A82E3176-409A-421B-BB44-656C5A06B0FD} - System32\Tasks\{367A41C0-C160-400A-8DFF-8824EC7FDCC5} => pcalua.exe -a C:\Users\Kolbe\Downloads\HAL_9000_4_3.exe -d C:\Users\Kolbe\Downloads

AlternateDataStreams: C:\Users\Kolbe\Ustawienia lokalne:dVN5DgGGU4zccna0nq6l5K

AlternateDataStreams: C:\Users\Kolbe\AppData\Local:dVN5DgGGU4zccna0nq6l5K

AlternateDataStreams: C:\Users\Kolbe\AppData\Local\Dane aplikacji:dVN5DgGGU4zccna0nq6l5K

AlternateDataStreams: C:\Users\Kolbe\AppData\Local\Temporary Internet Files:UJKslb48ts5WSVDf

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKU\S-1-5-21-4059769512-2160792119-2253301434-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

C:\Users\Kolbe\MediaInfo.dll

C:\Users\Kolbe\temp.dat

C:\Users\Kolbe\Desktop\Anita\Pulpit\Maj 2011-uchwały-projekty.doc.lnk

C:\Users\postgres\Desktop\Launch Fahrenheit.lnk

C:\Users\postgres\Desktop\Play Star Wars Battlefront II.lnk

C:\Users\UpdatusUser\Desktop\Launch Fahrenheit.lnk

C:\Users\UpdatusUser\Desktop\Play Star Wars Battlefront II.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

 

jessi

[kolbe11]

Skrypt wykonany. Skąd pomysł na Sality ? Zmieniające się DNS-y na routerze pomimo zmienionego hasła, jeśli ustawię DNS-y na auto to niemal pewne że na YT i Googlach dostanę komunikat o nieaktualnym Flash Playerze, czasami na routerze zmienia mi się PVC z 4 na 0 a wraz z tym wszystkie ustawienia z nim związane. LInk do zdjęcia:

 

Jest : http://img34.imagevenue.com/img.php?image=02731_1_122_158lo.jpg

Powinno być: http://img103.imagevenue.com/img.php?image=02931_2_122_1129lo.jpg

 

EDIT: Dziwne jest to, że pomimo zmiany parametrów internet dalej mi śmiga

[jessica]

Dalej nie rozumiem, co DNS i router mają wspólnego z SALITY.

 

W logach widzę DNS  GOOGLE'a:

T

cpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4
Tcpip\..\Interfaces\{2C58A7E5-8FD6-4DBE-B69E-2093C0DABE7A}: [DhcpNameServer] 8.8.8.8 8.8.4.4
Tcpip\..\Interfaces\{4ACB4215-3E64-408A-A62D-BCD46EE2C372}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{4ACB4215-3E64-408A-A62D-BCD46EE2C372}: [DhcpNameServer] 8.8.8.8 8.8.4.4

 

Jeśli coś "nie gra" z routerem, to skontaktuj się ze swoim dostawcą internetu.

 

jessi

[Rucek]

Flash player ostatnio odwalał jakieś szopki, trzeba było aktualizować Flasha i Firefoxa bo inaczej nie działało, poza tym znaleźli jakieś 3 poważne luki we Flashu. Zaktualizuj wszystko i powinno nie być problemów.

[kolbe11]

Dalej nie rozumiem, co DNS i router mają wspólnego z SALITY.

 

W logach widzę DNS  GOOGLE'a:

T

 

Jeśli coś "nie gra" z routerem, to skontaktuj się ze swoim dostawcą internetu.

 

jessi

 

Wg ustawień routera, moje DNS-y to:http://img125.imagevenue.com/img.php?image=08828_3_122_238lo.jpg. Internet z Netii, wątpię. że to wina dostawcy.

[jessica]

Wg ustawień routera, moje DNS-y to:http://img125.imagevenue.com/img.php?image=08828_3_122_238lo.jpg. Internet z Netii, wątpię. że to wina dostawcy.

ale DNS'y GOOGLE są też dobre, doskonale mogą zastępować DNS Netii.

 

jessi

[kolbe11]

ale DNS'y GOOGLE są też dobre, doskonale mogą zastępować DNS Netii.

 

jessi

Problem w tym, że ustawiłem DNS-y googlowskie a mimo to samoistnie się zmieniły, podobnie jak PVC. Nie rozumiem tylko dlaczego w logach widać DNS GOOGLE, a w ustawieniach routera zupełnie inne, nikt nie ma dostępu do routera a hasło mam raczej silne.

[gajowy]

Daj zrzut z zakładki Status>Internet. Tymczsowo (do czasu rozwiązania problemu) DNS googla lub inne zaufane ustaw sobie we właściwościach połączenia na komputerze - będą działać niezależnie od tych z routera.

[kolbe11]

I tu jest problem, nie mogę w ogóle wejść na router: Ping lipa, Dekoder działa, internet działa a przegladarka: ERR_CONNECTION_TIMED_OUT

 

EDIT: Po resecie udało mi się dostać na router ale cóż z tego jak straciłem cały log.